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合 规 实 务 指南 


随 着 《企业 内 部 控制 基本 规范 》 的 实施 ， 国 内 企业 面临 内 控 合 规 的 严峻 考验 。 

本 书 立足 于 当下 中 国企 业 实务 与 实践 ， 详 细 介绍 了 企业 内 部 控制 体系 建设 的 全 
过 程 ， 并 分 享 了 很 多 企业 在 此 过 程 中 的 经 验 与 教训 。 提 高 效率 ， 减 少 成 本 ， 从 合 规 
中 提升 价值 ， 是 本 书 的 目的 之 所 在 。 

建立 与 实施 有 效 的 内 部 控制 ， 一 方面 ， 有 利于 改进 公司 治理 ， 
改善 控制 措施 ， 降 低 风险 不 良 影响 ， 并 提高 企业 运作 透明 度 ， 另 一 方面 ， 有 利于 增 
强 投资 者 和 市 场 对 企业 的 信心 ， 提 高 企业 的 凝聚 力 、 员 工 的 士气 和 自豪 感 。 
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公司 基业 长 青 的 内 部 控制 指南 


前 段 时 间 ， 曾 与 一 位 投资 银行 的 朋友 探讨 尽职 调查 ， 其 言 工作 中 曾 涉 
及 一 些 内 部 控制 的 相关 内 容 ， 由 于 专业 知识 等 方面 的 局 限 ， 往 往 流 于 形式 
而 仅 能 实现 “ 纸 上 合 规 "。 恰 巧 此 时 ， 有 幸 和 拜读 梁 恩 故 先 生 所 编著 的 《< 企 
业内 部 控制 基本 规范 > 合 规 实务 指南 》 书 稿 。 该 书 不 仅 可 解 朋 友之 惑 ， 也 使 
自己 受益 菲 浅 。 

之 于 内 部 控制 ， 往 往 存在 以 下 两 种 有 些 对 立 的 认 知 。 

一 是 认为 内 部 控制 只 是 会 计 分 工 、 内 部 牵制 等 方面 内 容 ， 属 公司 财务 
部 门 的 自 娱 自 乐 ， 或 者 是 财务 部 门 与 其 他 部 门 的 协调 配合 。 其 实 ， 目前 内 
部 控制 理论 与 实践 已 得 到 极 大 发 展 ， 已 经 历 五 个 阶段 ， 从 初级 的 “内 部 牵 
制 ” 发 展 至 第 五 阶段 的 “企业 风险 管理 整合 框架 ”。 

尽管 更 侧重 于 实务 层面 ， 但 粱 晨光 先生 也 在 书 中 对 内 部 控制 理论 进行 
了 梳理 概括 ， 在 介绍 美国 内 部 控制 理论 和 实践 发 展 的 基础 上 ， 重 点 讨论 了 


《企业 内 部 控制 基本 规范 》 








我 国 的 情况 。 

没有 理论 指导 的 实践 是 盲目 的 。 书 中 讲述 的 内 部 控制 理论 可 谓 恰 到 好 
处 ， 能 够 使 读者 茅 塞 顿 开 ， 进 而 从 更 宏观 的 层面 了 解 和 理解 内 部 控制 的 发 
展 历程 与 概念 内 核 ， 以 便 更 精准 地 指导 实践 。 

二 是 言及 内 部 控制 则 肃然 起 获 ， 复 杂 理 论 与 烦琐 规则 不 绝 于 口 ， 置 人 
于 云雾 之 中 。 其 实 ， 内 部 控制 并 非 深 不 可 测 ， 它 只 是 人 们 在 经 营 管理 实践 
中 的 一 种 科学 总 结 ， 也 可 以 从 几 个 要 素来 把 握 ， 如 控制 环境 、 风 险 评估 、 
控制 活动 、 信 息 与 沟通 及 监控 。 

真知 往往 存在 于 实践 之 中 。 内 部 控制 实务 则 是 梁 最 焰 先 生 这 本 书 的 重 
头 戏 ， 也 是 能 够 答疑 解 惑 的 关键 所 在 。 甚 至 ， 更 见 体 贴 入 微 之 处 的 是 ， 在 
内 部 控制 与 全 面 风险 管理 体系 建设 方案 的 探讨 里 ， 提 出 了 一 些 技巧 性 的 具 
体 做 法 。 

例如 ， 在 《企业 内 部 控制 基本 规范 》 合 规 的 头 一 年 ， 建 议 采用 项 目 管 
理 办 公 室 的 办 法 ， 在 董事 会 及 审计 委员 会 的 领导 下 ， 由 公司 高 层 担 任 “内 
部 控制 建设 项 目 ” 负 责 人 ， 在 其 领导 下 成 立 “ 内 部 控制 建设 项 目 指导 委员 
会 "， 全 面 负 责 协调 整个 项 目的 顺利 实施 ; 又 如 ， 对 于 大 型 企业 ， 下 属 公 司 
繁多 ， 可 以 采取 先 试点 、 后 推广 的 方法 。 

其 实 ， 梁 最 焰 先 生 对 书稿 内 容 的 定位 是 煞费苦心 的 。 内 部 控制 往往 涉 
及 方面 众多 ， 而 基本 规范 则 是 最 基础 的 ， 岗 举目 张 ， 只 有 基础 打 牢 了 ， 才 
能 成 就 内 部 控制 的 屹立 百年 的 高 楼 大 厦 。 同 时 ， 由 于 目前 我 国企 业 规模 与 
发 展 阶段 的 局 限 ， 经 营 管理 往往 缺乏 主动 性 。 这 样 ， 以 合 规 这 一 基础 性 要 
求 为 第 一 要 务 ， 不 仅 能 够 使 企业 更 快 地 切入 内 部 控制 建设 上 来 ， 也 有 可 能 
在 实践 过 程 中 逐渐 认识 内 部 控制 的 重要 性 ， 进 而 上 升 到 更 高 层次 的 主动 性 


管理 。 
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企业 内 部 控制 做 不 好 就 不 能 基业 长 青 。 这 不 仅仅 局 限于 中 大 型 公司 或 
上 市 公司 ， 众 多 民营 中 小 企业 也 同样 如 此 。 企 业 在 内 部 控制 构建 中 ， 需 把 
握 其 核心 理念 一 一 风险 管理 。 大 公司 面临 风险 ， 中 小 企业 更 面临 风险 。 风 
险 管理 的 理念 贯彻 于 本 书 中 ， 与 此 相应 ， 书 中 将 风险 评估 作为 单独 一 章 来 
专门 阐释 ， 足 见 其 充分 的 内 在 远 辑 。 

如 果 说 内 部 控制 体系 建设 工作 应 贯彻 于 企业 始终 的 话 ， 那 么 对 内 部 控 
制 理论 与 实践 的 思考 也 将 成 为 梁 最 焰 先 生 一 生 的 记 求 。 期 待 梁 最 粉 先 生 未 
来 能 有 更 多 的 如 本 书 般 有 价值 的 优秀 作品 ， 也 期 待 能 有 更 多 鲜 活 生动 的 案 
例 与 广大 读者 分 享 。 

拂 以 为 ， 梁 最 兆 先 生 书 中 所 探讨 的 ， 不 仅仅 利于 广大 企业 进行 内 部 控 
制 制度 建设 实践 ， 也 是 上 市 公司 合 规 经 营 的 指导 手册 ， 更 值得 证 券 界 、 审 
计 界 及 学 界 等 各 方面 借鉴 。 喜 读 之 余 ， 乐 于 推荐 。 


王 大 力 

西南 证 券 研究 发 展 中 心 

郑 朝 晖 

华泰 联合 证 券 有 限 责 任 公司 
2010 年 3 月 


狄更斯 在 其 《双城记 》 的 开头 说 :“ 这 是 最 好 的 时 代 , 这 是 最 坏 的 时 代 。” 
(It was the best of times, it was the worst of times. ) 时 至 今日 ， 这 个 世界 从 来 
没有 平静 过 。 

2001 年 11 月 至 2002 年 6 月， 美国 发 生 了 被 称 为 经 济 界 “9. 11” 事 
件 的 安然 、 世 通 等 公司 的 财务 欺诈 丑闻 ， 人 惟 生 了 2002 年 《 萨 班 斯 法 案 》， 
开启 了 全 球 内 控 时 代 。 

2010 年 3 月 11 日 雷 受 兄弟 倒闭 一 年 半 之 后 ， 关 于 该 公司 倒闭 事件 
的 调查 报告 出 炉 ， 结 果 说 明 其 采取 了 与 安然 如 出 一 入 的 高 达 数 百 亿 美元 的 
会 计 作 假 行为 ,报告 指 出 其 “内 控 和 会 计 程 序 极 不 完善 (where control and 
accounting procedures were found to be sorely lacking. ),《 萨 班 斯 法 案 》 没 能 
防止 美国 第 二 个 安然 式 的 会 计 丑 闻 的 出 现 。 

而 在 中 国 ， 这 些 年 来 ， 黑 煤 窒 和 毒 奶 粉 给 我 们 带 来 的 伤 痛 还 没有 
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2008 年 6 月 28 日 ， 财 政 部 、 证 监 会 、 审 计 署 、 银 监 会 、 保 监 会 五 部 
委 联合 发 布 了 《企业 内 部 控制 基本 规范 》 中 国 版 萨 班 斯 自 此 诞生 ， 成 为 中 
国内 部 控制 的 一 个 标志 性 里 程 碑 。 

王石 说 :“ 这 真是 一 个 荒唐 的 年 代 。” 在 中 国 做 企业 ， 如 果 你 能 真 的 做 
到 以 下 几 点 ， 就 是 一 个 优秀 的 时 代 标 杆 了 。 这 些 品质 是 : 不 向 官员 行贿 ， 
不 偷税 漏税 ， 不 拖欠 员工 工资 ， 不 违反 标准 排放 污水 毒气 ， 没 有 往 产品 里 
掺 “三 聚 握 胺 ”。 

人 类 的 理性 是 有 限 的 。 在 这 样 一 个 充满 复杂 性 的 年 代 ， 人 类 预测 未 来 
的 知识 瞬间 显得 苍白 。 企 业 亦 然 ， 在 瞬息 万 变 的 经 营 环境 中 ， 往 往 手足 无 
措 。 符 合 内 部 控制 监管 合 规 要 求 仅 是 企业 内 部 控制 体系 建设 的 初级 阶段 。 
将 内 部 控制 植 根 于 企业 运营 ， 融 入 企业 文化 ， 才 是 更 务实 的 选择 。 

2006 年 ， 笔 者 创建 了 国内 唯一 专注 于 内 部 控制 与 全 面 风险 管理 的 网 站 
Cosox (www.cosox.cn )。 通 过 这 个 平台 ， 我 结识 了 许多 业内 同行 。 通 过 与 
他 们 的 交流 ， 我 对 中 国企 业 的 内 部 控制 有 了 更 深入 的 理解 和 认识 。 

本 书 的 出 版 ， 得 到 了 很 多 人 的 支持 。 特 别 感谢 江湖 号 称 “ 财 务 杀 手 ” 
的 郑 朝晖 (笔名 夏 草 / 飞 草 ) 和 西南 证 券 研 究 发 展 中 心 王 大 力 两 位 前 华 于 百 
忙 之 中 为 本 书 作 序 ， 使 本 书 增色 不 少 。 同 时 ， 还 要 感谢 我 的 太太 ， 她 在 我 
需要 鼓励 时 给 了 我 勇气 ， 并 悉心 照顾 家 庭 ,， 使 我 有 足够 的 时 间 来 完成 本 书 。 

谨 以 此 书 献 给 我 深 爱 的 母亲 票 连 王 1 


梁 最 粮 
2010 年 2 月 
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现代 意义 上 的 企业 内 部 控制 是 在 长 期 的 经 营 活动 过 程 中 ， 随 着 企业 对 
内 加 强 管理 和 对 外 满足 社会 需要 ， 逐 渐 产 生 并 发 展 起 来 的 自我 检查 、 自 我 
调整 和 自我 制约 的 系统 ， 其 中 凝聚 着 诸多 的 经 济 思想 、 管 理 理论 和 实践 经 
使。 伴随 内 部 控制 实践 的 逐渐 丰富 ， 内 部 控制 理论 的 发 展 也 经 历 了 一 个 温 
长 的 过 程 ， 先 后 出 现 了 “内 部 牵制 “内 部 控制 制度 ”"、“ 内 部 控制 结构 ”、 
“内 部 控制 整合 框架 ”和 “企业 风险 管理 整合 框架 ”五 个 阶段 。 内 部 控制 理 
论 与 实践 起 源 于 西方 发 达 国家 ， 特 别 是 美国 。 


4 美国 内 部 控制 理论 和 实践 的 发 展 


1992 年 ， 由 美国 注册 会 计 师 协会 ( AICPA )、 美 国会 计 学 会 (AAA )、 
财务 经 理 人 协会 (FEI)、 国 际 内 部 审计 师 协会 (TIA ) 和 管理 会 计 师 协会 
(CIMA ) 共同 赞助 成 立 的 一 个 专门 研究 内 部 控制 的 问题 委员 会 一 一 COSO 委 
员 会 (Committee of Sponsoring Organizations of the Treadway Commission, 
全 美 反 和 舞弊 性 财务 报告 委员 会 发 起 组 织 ), 发 布 了 指导 内 部 控制 实践 的 纲领 
性 文件 COSO 研究 报告 :《 内 部 控制 一 一 整合 框架 六 该 框架 是 至 今 管理 当 
局 和 注册 会 计 师 在 财务 呈报 内 部 控制 有 效 性 评价 方面 的 依据 之 一 。 在 
COSO 报告 中 ， 内 部 控制 被 定义 为 一 个 受 企业 员工 行为 影响 ， 用 以 完成 特 
定 目 标的 过 程 。 内 部 控制 是 一 个 受到 董事 会 、 管 理 层 和 其 他 人 员 影 响 的 过 
程 ， 该 过 程 的 设计 是 为 了 提供 实现 以 下 三 类 目标 的 合理 保证 : 经 营 的 效果 
和 效率 、 财 务 报告 的 可 靠 性 、 法 律 法 规 的 遵循 性 。 内 部 控制 包括 控制 环境 、 
风险 评估 、 控 制 活动 、 信 息 与 沟通 、 监 控 五 个 相互 联系 的 要 素 ， 它 们 都 包 
含 在 管理 层 经 营 企业 的 方式 中 。 五 项 要 素 相 互联 系 ， 作 为 评判 内 部 控制 系 
统 是 否 有 效 的 准则 。 
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2002 年 ， 安 然 、 世 通 公司 突然 垮台 ， 施 乐 、 默 克 等 美国 一 系列 大 型 企 
业 相 继 出 现 财务 丑闻 ， 为 整个 金融 市 场 殴 响 了 警钟 。 这 些 丑 闻 的 出 现 ， 不 
是 偶然 事件 ， 与 其 对 内 部 控制 的 过 分 政 忽 有 密切 的 关系 。 继 这 些 丑 闻 了 曝光 
后 ，2002 年 7 月 30 日 ,美国 紧急 出 台 了 著名 的 《2002 年 公众 公司 会 计 改 
革 和 投资 者 保护 法 案 》 又 被 称 做 2002 年 《 萨 班 斯 一 奥克斯 利 法案 》( 简称 
《 萨 班 斯 法 案 》 SOX ), 间 时 成 立 了 一 个 新 的 监管 机 构 一 一 上 市 公司 会 计 监 
督 委 员 会 ( The Public Company Accounting Oversight Board，PCAOB ) 取代 
美国 注册 会 计 师 协会 来 监管 会 计 职业 界 。 该 法 案 是 1930 年 以 来 美国 证 券 立 
法 中 最 具 影 响 的 法 案 ， 它 加 重 了 公司 主要 管理 者 的 法 律 责任 ， 加 强 了 对 公 
司 高 级 管理 层 的 收入 监管 ， 对 公司 内 部 的 审计 委员 会 做 出 了 法 律 规范 ; 与 
此 同时 ， 该 法 案 强化 了 对 公司 外 部 审计 的 监管 ， 加 强 了 信息 披露 制度 和 其 
他 有 关公 司 监管 的 规定 。 

《 萨 班 斯 法 案 》 的 影响 已 波及 整个 资本 市 场 , 各 行 各 业 都 受到 并 将 继续 
受到 该 法 案 的 影响 。 该 法 案 中 的 404 条 款 管理 层 对 内 部 控制 的 评估 是 最 环 
手 的 部 分 ， 它 要 求 上 市 公司 及 其 外 部 审计 师 对 公司 财务 报告 内 部 控制 的 有 
效 性 进行 报告 。 

在 《 萨 班 斯 法 案 》 颁 布 之 后 ，COSO 委员 会 于 2004 年 9 月 29 日 正式 
发 布 了 《企业 风险 管理 一 一 整合 框架 》, 并 提出 由 此 取代 《内 部 控制 一 一 整 
合 框架 》( 见 图 1-1 ),《 企 业 风 险 管理 一 一 整合 框架 》 内 部 控制 标准 体系 是 
公司 内 部 管理 当局 与 外 部 注册 会 计 师 完成 财务 呈报 内 部 控制 有 效 性 评价 的 
标准 。 

COSO 委员 会 提出 ,企业 风险 管理 是 企业 的 董事 会 、 管 理 层 和 其 他 员 
工 共同 参与 的 一 个 过 程 ， 应 用 于 企业 的 战略 制定 和 企业 的 各 个 部 门 和 各 项 
经 营 活 动 ， 用 于 确认 可 能 影响 企业 的 潜在 事项 并 在 其 风险 偏好 范围 内 管理 
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风险 评估 


控制 环境 





图 1-1 COSO-IC 演进 到 COSO-ERM 


风险 ， 对 企业 目标 的 实现 提供 合理 的 保证 。 根 据 管理 者 经 营 的 方式 划分 ， 
企业 风险 管理 包括 八 个 相互 关联 的 组 成 要 素 : 内 部 环境 、 目 标 设 定 、 事 项 
识别 、 风 险 评 估 、 风 险 应 对 、 控 制 活动 、 信 息 与 沟通 和 监控 。 内 部 环境 是 
企业 风险 管理 的 基础 ， 为 企业 风险 管理 所 有 其 他 组 成 部 分 的 运行 提供 了 平 
台 和 结构 。 企 业 风 险 管理 的 八 个 组 成 部 分 体现 的 是 一 个 动态 的 过 程 ， 是 一 
个 有 机 的 整体 。 

《内 部 控制 一 一 整合 框架 》 到 《企业 风险 管理 一 一 整合 框架 》， 不 是 局 
部 的 修补 和 简单 改良 , 而 是 在 理念 上 的 本 质 突破 。 体 现在 : 从 “控制 环境 ” 
到 “内 部 环境 ”", 这 一 修改 使 得 企业 关注 的 范围 不 再 局 限于 控制 方面 , 而 是 
从 更 宽阔 的 视野 ， 更 综合 、 更 直接 地 考虑 各 种 因素 对 风险 的 影响 ;目标 设 
定 中 增加 “战略 目标 ”, 使 企业 在 追求 短期 利益 的 同时 ， 从 战略 的 高 度 关注 
企业 的 长 远 目 标 和 可 持续 发 展 ; 将 “风险 评估 ”扩展 为 “事项 识别 ”“ 风 
险 评估 ”和 “风险 应 对 ”， 不 是 对 原 “ 风 险 评 佑 ”进行 简单 的 细 化 ， 而 是 代 
表 着 企业 风险 意识 日 益 增 强 和 积极 主动 管理 风险 。 美 国 上 市 公司 监管 机 构 
推出 的 一 系列 针对 内 部 控制 的 制度 安排 ， 对 我 国 在 美国 上 市 公司 具有 直接 
影响 ， 对 我 国 市 场 监管 也 具有 借鉴 意义 。 
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1.2 我 国内 部 控制 理论 和 实践 的 发 展 


1.2.1 我 国内 部 控制 发 展 脉络 





2007 年 3 月 ,企业 内 部 控制 标准 委员 会 颁布 《企业 内 部 控制 规范 一 一 
基本 规范 》 和 17 项 具体 规范 ( 征求 意见 稿 )， 向 社会 公开 征求 意见 ， 标 志 
着 我 国内 部 控制 标准 制定 工作 正式 起 航 。 在 此 之 前 ， 我 国 已 经 出 台 了 一 系 
列 内 部 控制 相关 规范 ， 如 表 1-1 所 示 。 


表 1-1 我 国内 部 控制 规范 进程 一 览 表 
| 发 布 部 门 规范 内 容 
发 布 《独立 审计 具体 准则 第 9 号 
计 风 险 》 

发 布 《关于 加 强 金 融 机 构 内 部 控制 的 指导 原则 》 
这 是 我 国 第 一 个 关于 内 部 控制 的 行政 规定 

发 布 《商业 银行 内 部 控制 指引 》 取代 1997 年 5 
月 发 布 的 《关于 加 强 金 融 机 构 内 部 控制 的 指导 原 
则 》 旨 在 促进 商业 银行 建立 和 健全 内 部 控制 体系 ， 
防范 金融 风险 ， 保 障 银行 体系 安全 稳健 运行 

发 柱 关 于 上 市 公司 做 好 各 项 资产 减 值 准备 等 有 关 
事项 的 通知 》 开始 要 求 上 市 公司 建立 内 部 控制 
发 布 《公开 发 行 证 券 公司 信息 披露 编 报 规则 》 要 
求 商业 银行 、 保 险 公司 、 证 券 公 司 必须 建立 健全 内 部 
控制 , 并 对 内 部 控制 的 完整 性 、 合 理性 和 有 效 性 做 出 
说 明 
发 布 《会 计 学 》 首次 以 法 律 的 形式 对 企业 的 内 部 控 
制 做 出 相应 的 规定 ， 将 其 纳入 企业 内 部 会 计 监 督 制 度 










有 时 间 














内 部 控制 与 审 





1996 年 12 月 | 财政 部 













1997 年 5 月 










2002 年 9 月 
















1999 年 6 月 














2000 年 11 月 
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规范 内 容 





发 布 《证 券 公司 内 部 控制 指引 》， 要 求证 券 公司 健 
全 内 部 控制 机 制 , 完善 内 部 控制 , 以 规范 公司 经 营 行 


2 为 ; 要 求证 券 公司 应 当 按照 指引 的 要 求 , 建立 运行 高 

6 证 监 会 。 | 效 、 科 学 合理 、 切 实 有 效 的 内 部 控制 
发 布 《证 券 公司 内 部 控制 指引 》 修 订 版 ,引导 证 券 
2003 年 12 月 公司 规范 经 营 , 完善 内 部 控制 机 制 , 增强 自我 约束 能 


力 ， 推 动 现代 企业 制度 建设 ， 防 范 和 化 解 金融 风险 


a 发 布 《内 部 会 计 控制 规范 一 基本 规范 ( 试行 )》 
和 《内 部 会 计 控 制 规范 一 一 货币 资金 (试行 )》 
BB 日 A 网 » 注 会 i 
ee 发 布 《内 部 榨 制 审核 指导 意见 》, 规范 注册 会 计 师 要 
行内 部 控制 审核 业务 ， 明 确 工 作 要 求 ， 保 证 执业 质量 
发 布 《内 部 会 计 控制 规范 一 采购 与 付款 (试行 )》 
2 并 
和 《内 部 会 计 控制 规范 一 销售 与 收 款 ( 试行)》 
发 布 《内 部 会 计 控 制 规范 一 存货 ( 试行 )》《 内 部 
2003 年 11 月 | 财政 部 | 会 计 控制 规范 一 一 担保 ( 征求 意见 稿 )》 和 《内 部 会 
计 控 制 规范 一 一 成 本 费用 ( 征求 意见 稿 )》 


发 布 《 商 业 银行 内 部 控制 评价 试行 办 法 》， 为 规范 
和 加 强 对 商业 银行 内 部 控制 的 评价 ,建立 健全 内 部 控 

2004 年 12 监 会 
| 制 机 制 , 为 全 面 风险 管理 体系 的 建立 奠定 基础 , 保证 


心 


Do 


\D 


be 


商业 银行 安全 稳健 运行 
| pe 国务 院 证 | ”发 布 《 关 于 提高 上 市 公司 质量 意见 》 国务 院 首次 
监 就 上 市 公司 工作 批 转发 布 文件 


je 


发 布 《寿险 公司 内 部 控制 评价 办 法 (试行 )》, 规范 
3 | 2006 年 1 月 | 保监会 和 加 强 对 寿险 公司 内 部 控制 的 评价 ,推动 寿险 公司 加 
强 内 部 控制 建设 


监 会 
监 会 

发 布 征求 《上 市 公司 内 部 控制 指引 》 意 见 的 通知 ， 

深交 所 | 揭 开 了 中 国 上 市 公司 内 部 控制 体系 制度 建设 的 序幕 


发 布 《首次 公开 发 行 股票 并 上 市 管理 办 法 》 第 29 
15 | 2006 年 5 月 | 证 监 会 条 规定 ， 发 行人 有 CPA 出 具 的 无 保留 的 内 部 控制 报 
告 ,， 证监 会 首次 对 上 市 公司 内 部 控制 提出 具体 要 求 


je 
小 
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续 表 







规范 内 容 . 
发 布 《上 海 证 券 交 易 所 上 市 公司 内 部 控制 指引 》 
发 布 《 中 央企 业 全 面 风 险 管 理 指引 》 
发 起 成 立 “ 企 业内 部 控制 标准 委员 会 ” 
发 起 成 立 “ 会 计 师 事务 所 内 部 治理 指导 委员 会 ” 
发 布 《深圳 证 券 交 易 所 上 市 公司 内 部 控制 指引 》 
规定 2007 年 6 月 30 日 前 , 深 市 主板 上 市 公司 均 要 按 
要 求 披 露 内 部 控制 制度 的 制定 和 实施 情况 






发 布 部 门 
2006 年 6 月 | 上 交 所 
2006 年 6 月 资 委 


2006 年 7 月 | 中 注 协 


































20 | 2006 年 9 月 | 深交 所 






通过 表 1-1， 我 们 不 难 发 现 ， 从 1996 年 到 2006 年 总 共和 颁布 了 20 项 与 
内 部 控制 相关 的 法 律 法 规 , 特别 是 在 2006 年 , 共 出 台 了 8 个 与 内 部 控制 相 
关 的 法 规 ， 并 成 立 了 2 个 与 内 部 控制 相关 的 委员 会 。 可 以 想见 ， 这 一 连 串 
法 规 的 出 台 或 多 或 少 都 与 《 萨 班 斯 法 案 》 有 关 , 因为 《 萨 班 斯 法 案 》 是 2002 
年 颁布 的 ， 从 2006 年 7 月 15 日 开始 ， 所 有 在 美国 上 市 的 外 国企 业 (包括 
中 国 在 美国 上 市 公司 )， 必 须 执 行 《 萨 班 斯 法 案 》 这 意味 着 中 国 在 美国 上 
市 公司 的 内 部 控制 建设 直接 受到 美国 法 律 的 约束 。 


1.2.2 ”财政 部 《企业 内 部 控制 基本 规范 》 





1. 背景 

2006 年 7 月 15 日 ， 财 政 部 发 起 成 立 了 企业 内 部 控制 标准 委员 会 ， 负 
责 建立 一 套 以 防范 风险 和 控制 舞弊 为 中 心 、 以 控制 标准 和 评价 标准 为 主体 ， 
结构 合理 、 内 容 完整 、 方 法 科学 的 内 部 控制 标准 体系 ， 推 动 企业 完善 治理 
结构 和 内 部 约束 机 制 。 

2007 年 3 月 ， 企 业内 部 控制 标准 委员 会 颁布 《企业 内 部 控制 规范 一 一 
基本 规范 》 和 17 项 具体 规范 ( 征求 意见 稿 )， 向 社会 公开 征求 意见 。 
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合作 全 和 和 和 @ 一 一 一 


2008 年 6 月 28 日 ， 财 政 部 、 证 监 会 、 审 计 署 、 银 监 会 、 保 监 会 联合 
发 布 《企业 内 部 控制 基本 规范 》( 以 下 简称 《内 控 规 范 》)， 标 志 中 国 版 萨 班 
斯 (C-SOX ) 正式 亮相 ， 自 此 中 国有 了 自己 统一 的 内 部 控制 标准 。 此 前 ， 
上 海 证 券 交 易 所 、 深 圳 证 券 交 易 所 、 中 国 证 券 监 督 管理 委员 会 都 分 别 出 台 
过 关于 上 市 公司 内 部 控制 的 相关 指导 意见 ， 但 这 些 要 求 之 间或 多 或 少 地 存 
在 不 一 致 性 。 

《内 控 规范 》 的 发 布 是 中 国 在 公司 治理 方面 的 一 个 重要 里 程 碑 , 体现 了 
中 国 经 济 与 全 球 经 济 的 进一步 接轨 和 融合 。 随 着 中 国资 本 市 场 的 发 展 与 壮 
大 ,与 之 配套 的 公司 治理 和 监督 机 制 的 需求 日 益 增 加 ; 而 随 着 中 国企 业 的 
做 大 做 强 , 企业 对 于 内 部 外 部 的 风险 需要 更 有 系统 、 更 有 力 的 控制 《内 控 
规范 》 为 中 国企 业 建立 内 部 控制 体系 提供 了 一 个 标准 的 框架 ， 在 理念 、 实 
施 和 制度 层面 为 企业 提供 了 基础 。 同 时 ， 内 部 控制 作为 一 个 相对 较 新 的 课 
题 对 首次 系统 建立 与 实施 内 部 控制 体系 的 企业 提出 了 新 的 挑战 。 


和 相关 链接 





理解 《内 控 规范 》 注 意 事项 
e 2008 年 6 月 28 日 ， 财 政 部 、 审 计 署 、 证 监 会 、 银 监 会 、 保 监 会 
联合 颁布 了 《内控 规范 》, 但 正式 官方 文件 于 2008 年 5 月 22 日 以 
通知 形式 下 发 ， 即 “关于 印发 《内 控 规 范 》 的 通知 ”财会 [2008]7 
号 (以 下 简称 《通知 》)。 理 解 《 内 控 规 范 》 时 不 能 仅仅 看 《内 控 


规范 》 本 身 ， 也 需 考虑 《通知 》 中 的 相关 要 求 。 

《通知 》 要 求 自 2009 年 7 月 1 日 起 在 上 市 公司 范围 内 施行 ， 鼓励 
非 上 市 的 大 中 型 企业 执行 。 执 行 本 规范 的 上 市 公司 ， 应 当 对 本 公 
司 内 部 控制 的 有 效 性 进行 自我 评价 ， 披 露 年 度 自 我 评价 报告 ， 并 
可 聘请 具有 证 券 、 期 货 业 务 资格 的 会 计 师 事务 所 对 内 部 控制 的 有 
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效 性 进行 审计 。 


来 源 : 财政 部 网 站 http:/www.casc.gov.cn/gnxw/200 807/20 080 715 751 587 htm 






2. 《内控 规 范 》 简 介 


(1) 框架 

《内 控 规范 》 基 本 借鉴 了 美国 COSO 框架 ， 即 以 1992 年 COSO《 内 部 
控制 一 整合 框架 》 五 要 素 为 框架 , 同时 在 内 容 上 体现 了 2004 年 COSO《 企 
业 风 险 管理 一 整合 框架 》 八 要 素 框 架 的 实质 。 

从 目标 上 看 ,《 内 控 规范 》( 第 三 条 ) 融合 了 1992 年 COSO《 内 部 控制 一 
整合 框架 》 和 2004 年 COSO《 企 业 风 险 管理 一 -整合 框架 》 的 目标 : 

Q@ 发 展 战略 。 

@@ 经 营 效率 和 效果 。 

二 财务 报告 及 相关 信息 真实 完整 。 

@ 资产 安全 。 

(3) 经 营 管理 合法 合 规 。 

(2) 结构 

《内 控 规 范 》 的 结构 如 图 1-2 所 示 。 

《内 控 规 范 》 共 分 为 七 章 五 十 条 : 

中 第 一 章 定义 基本 规范 的 适用 范围 , 提出 了 管理 层 年 度 评估 内 部 控制 
的 要 求 。 

@ 第 二 ~ 六 章 叙 述 企业 内 部 控制 需要 考虑 的 原则 与 相关 管理 要 素 , 包 
括 内 部 环境 、 凤 险 评估 、 控 制 活动 、 信 息 与 沟通 和 内 部 监督 。 

昌 第 七 章 规定 基本 规范 开始 实施 的 日 期 ， 指 明了 规范 的 配套 办 深 
相关 部 门 另 行 制定 。 
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总 则 a 
” 内 部 控 抽 过往 原 则 ， 全 面 人 性 ， 重 要 人 性、 制衡 性 、 适应 性、 成 本 效益 





。 制 定 相关 政策 ”确定 风险 承受 度 。 。 不 相符 了 责 分 高 。 。 建立 信息 与 沟通。 。 日 和 用 
人 只 中 专 
Ye 外 部 贷 洽 于 、 。 。 授 权 审 批 控制。 。 nt ’ 2 
"nt 。 进行 风险 分 析 。 。。 会 计 系统 控制 。 。。 加 强 信息 沟通 渠 。。 别 和 整改 
。 制定 风险 应 对 策 。 。 财产 保护 控制 时 。 内 部 控制 评价 报告 
略 i ”发 捧 信 息 技术 作 
”运营 分 析 控制 。 建立 反 舞 丙 机 制 
。 绩效 考评 控制 


附则 ， 配 套 指引 及 实施 时 间 





图 1-2 《内 控 规 范 》 的 结构 


[二 相关 链接 - 





《内 控 规 范 》 的 特色 
e《 内控 规 范 》 和 包含 了 全 部 控制 要 素 , 没有 如 《 萨 班 斯 法 案 》 仅 仅 局 
限于 财务 报告 相关 的 内 部 控制 (Internal control over financial 
reporting，ICFR )， 其 范围 更 为 广泛 ， 因 此 与 《 萨 班 斯 法 案 》 等 内 
部 控制 法 规 不 尽 相同 。 
e《 内控 规 范 》 第 八条 要 求 企业 建立 内 部 控制 实施 的 激励 约束 机 制 ， 
将 各 责任 单位 和 全 体 员工 实施 内 部 控制 的 情况 纳入 绩效 考评 体 
系 ， 促进 内 部 控制 的 有 效 实施 。 
(3) 审计 师 的 考虑 
1 ) 不 强制 要 求 独立 审计 
可 聘请 具有 证 券 、 期 货 业 务 资格 的 会 计 师 事务 所 对 内 部 控制 的 有 效 性 
进行 审计 《通知 》)。 
2 ) 审计 标准 
必须 按照 基本 规范 、 支 持 性 的 法 规 和 相关 专业 指引 要 求 执行 审计 (《 内 











一 一 一 一 一 一 了》@》 (企业 内 部 控制 基本 规范 》 解 读 


控 规范 》 第 十 二 条 )。 

3 ) 审计 师 的 资质 

有 具有 证 券 、 期 货 业 务 资格 的 会 计 师 事务 所 《通知 》)。 

4 ) 独立 性 要 求 

提供 内 部 控制 咨询 服务 的 公司 不 能 同时 提供 内 部 控制 审计 服务 (《 内 控 
规范 》 第 十 二 条 )。 


1.2.3 ”我 国内 部 控制 体系 进展 





1. 配套 指引 


《内 控 规 范 》 发 布 后 ， 为 了 配合 其 施行 ，2008 年 7 月 4 日 ,官方 "发布 
了 “关于 征求 《企业 内 部 控制 评价 指引 》《 企 业内 部 控制 应 用 指引 》 和 《 企 
业内 部 控制 鉴证 指引 》 意 见 的 通知 ”。 至此, 我 国 的 企业 内 部 控制 法 规 体系 
初步 形成 一 个 层次 分 明 、 内 容 完 整 、 衔 接 有 序 、 整 体 互动 的 有 机 统一 体 。 

《1)《 企 业内 部 控制 评价 指引 》 

由 财政 部 制定 , 用 于 指导 企业 管理 层 对 内 部 控制 有 效 性 进行 年 度 评价 ， 
包括 内 部 控制 评价 的 程序 和 方法 、 缺 陷 认 定 和 评价 报告 。 

(2)《 企 业内 部 控制 应 用 指引 》 

由 财政 部 制定 ， 用 于 指导 企业 管理 层 实施 内 部 控制 。 该 指引 设置 了 22 
个 独立 文件 ， 覆 盖 的 领域 包括 资金 、 有 采购、 存货 、 销 售 、 工 程 项 目 、 固 定 
资产 、 无 形 资产 、 长 期 股权 投资 、 筹 资 、 预 算 、 成 本 费用 、 担 保 、 合 同 协 
议 、 对 子 公司 的 控制 、 财 务 报告 编制 与 披露 、 人 力 资源 政策 、 信 息 系 统一 





Q@ 《企业 内 部 控制 基本 规范 》 的 配套 指引 是 通过 “企业 内 部 控制 标准 委员 会 ”秘书 处 即 财政 部 会 计 司 
的 网 站 来 发 布 的 。 


.人 


《企业 内 部 控制 基本 规范 》 
合 规 实务 ,指南 


般 控制 、 衍 生 工 具 、 企 业 并 购 、 关 联 交 易 、 业 务 外 包 和 内 部 审计 。 

(3)《 企 业内 部 控制 鉴证 指引 》 

由 中 国 注 册 会 计 师 协 会 制定 ， 用 于 指导 接受 企业 委托 从 事 内 部 控制 审 
计 的 会 计 师 事务 所 ， 从 事 企业 内 部 控制 有 效 性 鉴证 业务 。 目 前 指引 将 范围 
限定 在 有 关 财 务 报告 相关 的 内 部 控制 ， 小 于 《内 控 规 范 》 中 规定 的 内 部 控 
制 范围 。 


2. 配套 指引 进展 
(1) 根据 官方 公布 的 消息 ， 配 套 指引 的 进展 情况 
(CD 《企业 内 部 控制 评价 指引 》 2009 年 1 月 14 日， 修改 了 《企业 内 
部 控制 评价 指引 》( 财会 便 [2009] 7 号 ) (参考 附录 A )。 
@ 《企业 内 部 控制 应 用 指引 》 根据 目前 官方 公布 的 信息 ， 已 经 做 了 
如 下 一 些 修 订 : 
。 2008 年 12 月 31 日 ， 新 增 了 组 织 架构 、 发 展 战 略 、 人 力 资源 、 企 业 
文化 和 社会 责任 5 个 项 目 〈 财会 便 [2008] 60 号 )。 
。 2009 年 1 月 8 日 ,调整 修改 了 资金 、 采 购 、 资 产 、 销 售 、 研 发 5 个 
应 用 指引 财会 便 [2009] 4 号 )。 
。 2009 年 1 月 14 日 , 调整 修改 了 工程 项 目 、 全面 预 算 、 合 同 、 内 部 报 
告 、 信 息 系 统 5 个 应 用 指引 ( 财会 便 [2009] 7 号 )。 
( 《企业 内 部 控制 鉴证 指引 》 没有 看 到 关于 这 个 指引 的 修订 信息 。 
(2) 除了 官方 正式 公布 消息 外 ， 其 他 渠道 透露 的 消息 
2009 年 2 月 , 财政 部 会 计 司 拟稿 了 一 套 《 企 业内 部 控制 配套 指引 》( 征 
求 意见 稿 )。 该 配套 指引 包括 三 部 分 内 容 : 18 项 应 用 指引 、1 项 评价 指引 和 
1 项 审计 指引 。《 企 业内 部 控制 应 用 指引 》 包 括 组 织 架构 、 发 展 战略 、 人 力 


ll 
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资源 、 企 业 文化 、 社 会 责任 、 资 金 、 采 购 、 资 产 、 销 售 、 研 发 、 工 程 项 目 、 
全 面 预算 、 合 同 、 内 部 报告 、 信 息 系统 、 银 行业 务 、 保 险 业 务 、 证 券 业务 
18 项 ; 《企业 内 部 控制 评价 指引 》 就 是 2009 年 1 月 14 日 修改 后 的 版 本 ( 参 
考 附录 A );《 企 业内 部 控制 审计 指引 》 取 代 之 前 发 布 的 《企业 内 部 控制 鉴 
证 指引 》( 参考 附 录 B )。 


所. 相关 链接 





《内 控 规范 》 配 套 指引 进展 

e2009 年 7 月 22 日 ,在 《中 国会 计 报 》 创 刊 一 周年 又 首届 中 国 财会 
论坛 上 ， 财 政 部 副 部 长 王 军 表示 ， 在 业已 发 布 《内 控 规 范 》 的 基 
础 上 ， 财 政 部 制定 完成 了 18 项 应 用 指引 、1 项 评价 指引 和 1 项 审 
计 指 引 ， 并 提交 证 监 会 、 审 计 署 、 银 监 会 、 保 监 会 会 签 ， 将 于 近 
期 正式 公布 。 

来 源 : 中 国 证 券 网 http://www.cnstock.com/08index/2009-07/22/content 4 451 022.htm 

e2009 年 9 月 10 日 ,美国 管理 会 计 师 协会 在 上 海 召 开 第 四 届 全 球 年 
会 , 中 国 财政 部 会 计 司 副 司 长 李 玉 环 在 该 会 上 表示 , 在 已 发 布 《内 
控 规 范 》 的 基础 上 ， 目 前 财政 部 已 经 完成 了 18 项 应 用 指引 、1 项 
评价 指引 和 1 项 审计 指引 ， 并 会 签证 监 会 、 审 计 署 、 银 监 会 、 保 
监 会 ， 具 体内 容 不 久 后 即将 公布 。 

来 源 :《 国 际 金 融 报 》 


从 2007 年 3 月 , 企业 内 部 控制 标准 委员 会 颁布 《企业 内 部 控制 规范 一 一 
基本 规范 》 和 17 项 具体 规范 (征求 意见 稿 )， 到 目前 《 内控 规 范 》 的 配套 
指引 即将 发 布 ， 我 国企 业内 部 控制 规范 及 其 配套 指引 发 展演 变 如 表 1-2 
所 示 。 
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表 1-2 内 部 控制 规范 配套 指引 发 展演 变 (2007 一 2009) 9 





















”2007 年 ， 2008 年 2009 年 
《企业 内 部 控制 评价 指引 》 |《 企 业内 部 控制 评价 指引 》 

( 征求 意见 稿 ) (修订 版 ) 
《企业 内 部 控制 鉴证 指引 》 |《 企 业内 部 控制 审计 指引 》 






《企业 内 部 控制 具体 规范 》 
(2007 年 征求 意见 稿 )17 项 






《企业 内 部 控制 应 用 指引 》 
〈 最 新 修订 稿 意见 稿 ) 18 项 





《企业 内 部 控制 应 用 指引 》 
(2008 年 征求 意见 稿 )22 项 



























。 货币 资金 。 资金 。 组 织 架构 
。 采购 与 付款 。 采购 。 发 展 战 略 
。 存货 。 存货 。 人 力 资 源 
。 对 外 投资 。 销售 。 企业 文化 
。 工程 项 目 。 工程 项 目 。 社会 责任 
。 固定 资产 。 固定 资产 。 资金 
。 销售 与 收 款 。 长 期 股权 投资 。 采购 
。 筹资 。 筹资 。 资产 
。 成 本 费用 。 预算 。 销售 
。 担保 。 成 本 费用 。 研发 
。 财务 会 计 报告 编制 。 担保 。 工程 项 目 
。 信息 披露 。 合同 协议 。 全 面 预 算 
。 预算 。 对 子 公司 的 控制 。 合同 
。 合同 。 人 力 资源 政策 。 内 部 报告 
。 对 子 公司 的 控制 。 信息 系统 一 般 控制 。 信息 系统 
。 人 力 资 源 政策 。 财务 报告 编制 与 披露 。 银行 业务 
。 计算 机 信息 系统 。 无 形 资产 。 保险 业务 
。 衍生 工具 。 证 券 业 务 
。 企业 并 购 
。 关联 交易 
。 内 部 审计 






。 业务 外 包 





QD 请 以 最 终 公布 版 为 准 。 


2 
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等 到 《 内控 规范 》 的 配套 指引 发 布 正 式 稿 ， 中 国内 部 控制 标准 体系 将 
正式 形成 ， 如 图 1-3 所 示 。 





《企业 内 部 控制 
基本 规范 》 


控制 标准 








《企业 内 部 控制 
应 用 指引 》 


《企业 内 部 控制 
评价 指引 》 


《企业 内 部 控制 
审计 指引 》 







适用 于 监管 机 
构 、 企 业 、 咨 询 


顾问 等 


适用 于 外 部 
审计 师 





图 1-3 中 国内 部 控制 标准 体系 


CD 


. 实施 时 间 
《内 控 规范 》 第 五 十 条 :“ 本 规范 自 2009 年 7 月 1 日 起 实施 .” 但 是 目 
前 对 于 实施 时 间 的 说 法 有 很 多 版 本 ， 众 说 纷 经 。 





相关 链接 
《内 控 规 范 》 实 施 时 间 新 闻 报 道 


。2009 年 5 月 9 日 《中 国 经 营 报 》 刊 发 一 篇 报道 :《 中 国 版 ( 萨 班 斯 
法 案 > 延 期 》 没有 任何 预 泡 ， 也 没有 任何 公示 ， 财 政 部 悄然 推 后 
了 《内 控 规范 》 实 施 的 时 间 , 从 2009 年 7 月 1 日 延期 到 2010 年 1 
月 1 日 开始 施行 。 

来 源 :《 中 国 经 营 报 》http://news.cb.com.cn/htm1/37/n-6 537.html 

。 2009 年 7 月 1 日 《新 京 报 》 报 道 ， 被 喻 为 中 国 《 萨 班 斯 法 案 》 的 
《内 控 规 范 》 今 起 实施 。 财 政 部 会 计 司 相关 工作 人 员 昨 日 表示 ， 截 
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至 昨日 下 午 ,没有 正式 文件 或 正式 说 法 说 《内 控 规 范 》 延 期 执行 。 
来 源 :《 新 京 报 》http://www.thebeijingnews.convVeconomy/2009/07-01/008@021 







852.htm 

。 2009 年 7 月 22 日 ,在 《中 国会 计 报 》 创 刊 一 周年 又 首届 中 国 财会 
论坛 上 ， 财 政 部 副 部 长 王 军 表示 …… 鼓 励 上 市 公司 在 2011 年 1 月 
1 日 法 定 实施 时 间 之 前 ， 根 据 自身 实际 提前 实施 ， 并 有 效 推动 中 
国企 业 完善 内 部 治理 结构 和 约束 机 制 ， 不 断 提高 风险 防范 和 持续 
发 展 能 力 。 

来 源 : 中 国 证 券 网 http://www.cnstock.com/08index/2009-07/22/content 4 451 022.htm 

。 2010 年 1 月 13 日, 上海 证 券 报 报 道 称 “上 市 公司 今年 起 将 全 面 实 
行 《 企 业内 部 控制 基本 规范 》。 


来 源 : 上 海 证 券 报 http://www.stockinfo.com.cn/paper_new/html/2010-01/ 13/content 








71930107.htm 








ed 


《内 控 规范 》 延 期 的 一 个 很 重要 原因 是 对 执行 成 本 的 考虑 。 内 部 控制 需 
要 对 企业 业务 流程 进行 梳理 ， 增 设 专门 的 部 门 ， 配 备 专 业 人 员 ， 甚 至 需要 
聘请 咨询 公司 ， 这 都 是 一 笔 不 小 的 开支 。 当 前 金融 危机 情况 下 ， 很 多 企业 
的 业绩 大 受 影响 ， 适 当 延 期 实施 《内 控 规 范 》 乃 应 景 为 之 。 

从 美国 实施 《 萨 班 斯 法 案 》 的 经 验 来 看 ， 需 要 考虑 到 实施 中 可 能 出 现 
一 些 困难 ， 如 一 些 企业 可 能 会 由 于 时 间 有 限 而 使 实施 流 于 形式 ， 或 在 短期 
内 无 法 完成 内 部 控制 的 建设 工作 ， 为 了 避免 这 些 情 况 ， 保 证 实施 的 效果 ， 
《 萨 班 斯 法 案 》 的 实施 也 是 将 实施 范围 内 的 公司 分 为 儿 个 类 别 , 并 分 别 数 次 
推迟 了 这 几 类 公司 正式 实施 的 时 间 。 因 此 《内 挖 规范》 实施 或 多 或 少 受到 
《 萨 班 斯 方案 》 实 施 过 程 所 遇 到 的 情况 的 影响 。 


《企业 内 部 控制 基本 规范 》 解 读 





《 ,) 相关 链接 
《 萨 班 斯 法 案 》 的 境遇 


。 《 萨 班 斯 法 案 》 实 施 争 议 不 断 ， 被 认为 成 本 高 遇 ， 价 值 有 限 ， 其 
至 认为 其 严重 影响 了 美国 资本 市 场 的 竞争 力 。 

来 源 : 中 注 协 行业 发 展 研究 资料 (No.2007 一 2 ):《 萨 班 斯 法 案 》404 条 款 实施 的 

跟踪 研究 一 一 各 方 评论 、 实 施 进 展 与 启示 

(http://www.cicpa.org.cn/Column/Research_data/200 805/t20 080 530 12 804.htm ) 

。 2009 年 10 月 2 日 美国 证 券 交易 委员 会 《Securities and Exchange 
Commission，SEC ) 再 次 宣布 将 小 规模 报告 公司 (流通 在 外 的 由 
公众 持 有 的 股份 市 值 低 于 USD75M ) 的 合 规 日 期 延迟 至 2010 年 6 
月 15 日 之 后 。 也 就 是 那 时 之 后 才 需 要 外 部 审计 师 须 就 公司 的 财务 
报告 内 部 控制 的 有 效 性 出 具 审计 意见 。 这 是 SEC 第 四 次 也 是 最 后 
一 次 推迟 小 型 上 市 公司 遵守 《 萨 班 斯 法 案 》404 (b ) 条 款 的 日 期 。 

来 源 : 美国 证 交会 








14:3 内 部 控制 的 规定 及 相关 人 员 的 责任 


1.3.1_ 相关 法 规 对 内 部 控制 的 规定 





国内 外 近 几 年 颁布 的 有 关内 部 控制 的 法 律 法 规 , 均 做 出 了 具体 的 规定 。 


1. 我 国 相关 法 规 对 企业 建立 内 部 控制 的 规定 
1 )《 中 华人 民 共 和 国会 计 法 》 
2000 年 7 月 修订 实施 的 《中 华人 民 共和 国会 计 法 》 第 四 条 规定 ， 单 位 
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《企业 内 部 控制 基本 规范 》 





负责 人 对 本 单位 的 会 计 工 作 和 会 计 资料 的 真实 性 、 完 整 性 负责 ; 第 二 十 七 
条 规定 ， 各 单位 应 当 建立 、 健 全 本 单位 内 部 会 计 监 督 制度 。 

2 )《 内 部 会 计 控制 一 一 基本 规范 》 

财政 部 于 2001 年 颁布 实施 的 《内 部 会 计 控制 一 一 基本 规范 》 规 定 , 单 
位 负责 人 对 本 单位 内 部 会 计 控制 的 建立 健全 及 有 效 实施 负责 

3 )《 企 业内 部 控制 基本 规范 》 

财政 部 于 2008 年 6 月 28 日 发 布 的 《企业 内 部 控制 基本 规范 》 要 求 上 
市 公司 自 2009 年 7 月 1 日 起 施行 , 鼓励 非 上 市 的 大 中 型 企业 执行 。 其 中 第 
六 条 规定 ， 企 业 应 当 根 据 有 关 法 律 法 规 、 本 规范 及 其 配套 办 法 ， 制 定 本 企 
业 的 内 部 控制 制度 并 组 织 实施 。 

4 ) 国资 委 《 中 央企 业 全 面 风 险 管理 指引 》 

国资 委 2006 年 6 月 发 布 的 (中 央企 业 全 面 风险 管理 指引 涉 九条 规定 ， 
企业 应 本 着 从 实际 出 发 、 务 求实 效 的 原则 ， 以 对 重大 风险 、 重 大 事件 ( 指 
重大 风险 发 生 后 的 事实 ) 的 管理 和 重要 流程 的 内 部 控制 为 重点 ， 积 极 开 展 
全 面 风险 管理 工作 。 具 备 条 件 的 企业 应 全 面 推进 ， 尽 快 建立 全 面 风险 管理 
体系 ; 其 他 企业 应 制定 开展 全 面 风险 管理 的 总 体 规 划 ， 分 步 实施 ， 可 先 选 
择 一 项 或 多 项 业务 开展 风险 管理 工作 ， 建 立 单项 或 多 项 内 部 控制 子 系统 。 
通过 积累 经 验 ， 培 养 人 才 ， 逐 步 建 立 健全 全 面 风 险 管 理 体系 。 

5 ) 香港 联 交 所 对 内 部 控制 的 要 求 

2004 年 11 月 香港 联 交 所 发 布 了 《企业 管 治 常规 守则 》， 要求 公 司 董事 

少 每 年 审核 一 次 内 部 控制 的 有 效 性 ， 并 在 《公司 治理 报告 》 中 向 股东 
汇报 。 

6 ) 上 交 所 和 深交 所 对 内 部 控制 的 要 求 

2006 年 6 月 上 交 所 发 布 《 上 海 证 券 交易 所 上 市 公司 内 部 控制 指引 》 
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《企业 内 部 控制 基本 规范 》 解读 


2006 年 9 月 深交 所 发 布 《深圳 证 券 交 易 所 上 市 公司 内 部 控制 指引 》 均 要 
求 在 该 证 券 交易 所 上 市 的 公司 应 当 按照 法 律 、 行 政法 规 、 部 门 规章 及 本 所 
股票 上 市 规则 的 规定 建立 健全 内 部 控制 制度 , 保证 内 部 控制 制度 的 完整 性 、 
合理 性 及 实施 的 有 效 性 ， 以 提高 公司 经 营 的 效果 与 效率 ， 增 强 公司 信息 披 
露 的 可 靠 性 ， 确 保 公 司 行为 合法 合 规 。 


2. 国外 相关 法 规 对 上 市 公司 建立 内 部 控制 的 规定 


2002 年 7 月 颁布 美国 《 萨 班 斯 法 案 》 第 404 条 款 ， 要 求 在 美 上 市 公司 
必须 建立 并 保持 有 效 的 财务 报告 内 部 控制 ， 并 要 求 财务 报告 的 签署 人 对 此 
负责 。 

《 萨 班 斯 法 案 》 以 维护 广大 投资 者 利益 为 宗旨 ， 对 惩治 公司 财务 欺诈 、 
规范 企业 行为 和 加 强 资本 市 场 监管 做 出 了 规定 ， 其 内 容 主 要 包括 : 

人 @ 明确 公司 管理 层 的 责任 。 明 确 公司 管理 层 对 披露 报告 真实 、 全 面 、 
准确 负责 , 公司 首席 执行 官 和 首席 财务 官 须 签字 对 财务 信息 的 准确 性 负责 。 
公司 必须 实时 公布 任何 导致 公司 财务 健康 状况 发 生变 化 的 事件 。 明 确 公司 
管理 层 对 内 部 控制 体系 设计 、 建 立 、 运 行 有 效 负责 。 

@) 要 求 公司 的 外 部 审计 师 对 公司 与 财务 报告 相关 的 内 部 控制 的 有 效 
性 执行 审计 程序 ， 并 出 具 审 计 报 告 。 

@ 加 强 会 计 监 管 。《 萨 班 斯 法 案 》 一 方面 加 重 对 公司 管理 层 违规 行为 
的 惩罚 ， 另 一 方面 加 强 对 会 计 行业 的 监督 。 美 国 证 券 交易 委员 会 设立 独立 
的 上 市 公司 会 计 监 管 委 员 会 来 监督 会 计 行 业 ， 该 委员 会 制定 了 清晰 统一 的 

只 业 标准 和 道德 规范 ， 并 具有 调查 渎职 和 违规 的 权力 。 

@ 完善 公司 内 部 审计 制度 。 该 法 案 第 301 条 要 求 所 有 的 上 市 公司 都 必 

须 设立 审计 委员 会 ， 该 委员 会 的 成 员 必须 全 部 是 “独立 董事 ”。 
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岛 强化 上 市 公司 信息 披露 的 监控 。SEC 必须 在 三 年 期 限 内 对 每 个 上 市 
公司 提交 的 信息 披露 进行 审查 ， 并 做 出 审查 结论 。 

@ 突出 舞弊 防范 。 法案 对 欺诈 和 舞弊 防范 措施 做 了 强制 规定 ,要 求 建 
立 “ 反 舞 浆 程 序 和 控制 ”并 每 年 进行 评估 ， 高 层 管理 人 员 有 任何 程度 上 的 
舞弊 行为 就 会 被 认定 内 部 控制 无 效 。 


1.3.2 相关 人 员 在 内 部 控制 中 的 责任 





1.， 管理 层 的 内 部 控制 责任 


(1)《 萨 班 斯 法 案 》 的 要 求 

根据 美国 上 市 公司 会 计 监 督 委员 会 (PCAOB ) 制定 的 内 部 控制 “审计 
标准 ”( Auditing Standard ), 要 求 公司 管理 层 对 内 部 控制 的 有 效 性 实施 评估 ， 
并 且 对 所 实施 的 评估 进行 记录 和 报告 。 管 理 层 的 总 体 责 任 包括 ; 

中 管理 层 必须 记录 与 所 有 重要 财务 报表 会 计 科 目 和 披露 事项 之 相关 
认定 有 关 的 内 部 控制 设计 。 

@ 管理 层 必须 测试 与 所 有 重要 财务 报表 会 计 科目 和 披露 事项 之 相关 
认定 有 关 的 内 部 控制 ， 而 且 测 试 应 当 涵 盖 内 部 控制 的 全 部 要 素 。 

(@ 管理 层 必须 执行 适当 程序 以 获得 充分 的 证 据 并 保留 相关 记录 , 从 而 
支持 其 对 于 公司 内 部 控制 的 有 效 性 实施 的 评估 。 

@ 管理 层 对 内 部 控制 实施 评估 是 公司 内 部 控制 的 一 部 分 , 它 代 表 了 公 
司 监督 内 部 控制 的 一 个 重要 方面 。 可 以 使 用 内 部 审计 师 、 公 司 其 他 人 员 和 
第 三 方 协助 其 进行 评估 工作 ， 但 不 能 将 其 对 公司 内 部 控制 进行 评估 的 责任 
委派 给 外 部 审计 师 或 其 他 任何 第 三 方 。 

人 如 果 发 现 了 一 个 或 多 个 重要 缺陷 ( Material Weakness ), 管理 层 就 不 
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能 认定 公司 的 内 部 控制 是 有 效 的 。 
@ 管理 层 报告 必须 披露 所 有 重要 缺陷 。 
(2)《 内 控 规 范 》 的 要 求 
1 ) 董事 会 
对 内 部 控制 的 建立 健全 和 有 效 实施 全 权 负 责 (《 内 控 规范 》 第 十 二 条 )。 
2 ) 监事 会 
对 董事 会 建立 与 实施 内 部 控制 进行 监督 (《 内 控 规 范 》 第 十 二 条 )。 
3 ) 管理 层 
。 成 立 专门 机 构 或 者 指定 适当 的 机 构 具 体 负 责 组织 协 调 内 部 控制 的 建 
立 与 实施 及 日 常 工作 《内 控 规范 》 第 十 二 条 )。 
。 对 公司 内 部 控制 的 有 效 性 进行 自我 评价 ， 披 露 年 度 自我 评价 报告 
(《 通 知 》)。 
。 不 强制 要 求 对 内 部 控制 的 有 效 性 进行 审计 《通知 》)。 
4 ) 审计 委员 会 
监督 内 部 控制 的 有 效 实施 和 内 部 控制 自我 评价 情况 (《 内 控 规 范 》 第 十 
三 条 )。 


2. 单位 负责 人 的 内 部 控制 责任 


在 有 关 法 规 中 均 明确 了 单位 有 关 负 责 人 在 内 部 控制 的 责任 , 可 概括 为 : 

《1) 美国 《 萨 班 斯 法 案 》 对 管理 层 的 规定 

《 萨 班 斯 法 案 》 第 302 条 款 和 第 404 条 款 , 分 别 对 单位 负责 人 在 财务 报 
告 及 内 部 控制 中 的 责任 作 了 规定 

Q 在 302 条 款 中 , 要 求 向 美国 证 券 交 易 委 员 会 提交 定期 财务 报告 的 公 
司 ， 在 每 个 年 度 或 季度 定期 报告 中 就 某 些 财务 事宜 附 一 份 由 公司 首席 执行 
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官 和 首席 财务 官 签 署 的 书面 认证 文件 ， 以 保证 公司 提交 的 财务 报告 在 所 有 
重大 方面 公允 地 反映 了 公司 的 财务 状况 和 经 营业 绩 。 

@) 在 404 条 款 中 , 在 披露 年 度 报 告 时 , 首席 执行 官 和 首席 财务 官 就 内 

部 控制 有 效 性 发 表 声 明 。 

。《 萨 班 斯 法 案 》 针 对 上 市 公司 增加 了 许多 严厉 的 法 律 措施 , 成 为 继 20 
世纪 30 年 代 美 国 经 济 大 萧条 以 来 , 政府 制定 的 涉及 范围 最 广 、 处 罚 
措施 最 严厉 的 公司 法 律 。 

。 董事 和 高 层 管理 人 员 须 返还 因 公 司 虚假 报表 取得 的 激励 性 报酬 和 买 
卖 股票 收益 。 

。 对 于 违反 财务 报表 披露 要 求 的 行为 ， 个 人 的 处 罚 额 提 高 到 100 万 美 
元 ， 并 可 同时 判处 的 监禁 期 限 延长 到 10 年 ， 对 盗 意 违反 财务 报表 
披露 要 求 的 公司 主管 处 罚 额 高 达 500 万 美元 , 并 可 判处 高 达 20 年 的 


监禁 。 


.J 相关 链接 
《 萨 班 斯 法 案 》 解 读 


。《 萨 班 斯 法 案 》 第 302 条 款 要 求 公司 首席 执行 官 及 首席 财务 官 对 
以 下 事项 做 出 声明 : 
一 他 们 已 复核 了 财务 报告 。 
一 报告 中 不 存在 任何 重大 错 报 和 漏 报 。 
一 报告 中 的 财务 报表 及 其 他 财务 信息 在 所 有 重大 方面 公允 地 反 
映 了 公司 的 财务 状况 和 经 营 成 果 。 
一 对 建立 和 维护 内 部 控制 负责 。 在 财务 报告 提交 前 的 90 天 内 ， 
对 内 部 控制 的 有 效 性 进行 评价 , 向 审计 师 及 审计 委员 会 披露 内 
部 控制 中 存在 的 重要 缺陷 及 内 部 控制 系统 中 关键 人 员 的 舞弊 








人 i 
ND 
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行为 (如 有 ),， 评价 控制 程序 后 ， 对 内 部 控制 发 生 的 重大 变化 
及 管理 层 采取 的 更 正 措施 做 出 陈述 。 

。《 萨 班 斯 法 案 》 第 404 条 款 要 求 公司 编制 的 年 度 报告 中 包括 内 部 

控制 报告 ， 包 括 : 

一 强调 公司 管理 层 对 建立 和 维护 充分 有 效 的 内 部 控制 系统 及 相 
应 控制 程序 的 责任 。 


一 管理 层 对 最 近 财 政 年 度 末 内 部 控制 体系 及 控制 程序 有 效 性 的 
评价 。 

一 要 求 公司 的 审计 师 对 公司 与 财务 报告 相关 的 内 部 控制 有 效 性 
执行 审计 程序 ， 并 出 具 审 计 报 告 。 该 审计 应 当 遵 循 PCAOB 发 
布 或 认可 的 准则 。 





(2)《 内 控 规 范 》 对 管理 层 的 要 求 

《内 控 规范 》 要 求 管理 层 对 公司 内 部 控制 的 有 效 性 进行 自我 评价 , 披露 
年 度 自 我 评价 报告 ,但 不 强制 要 求 对 内 部 控制 的 有 效 性 进行 审计 。 没 有 规 
定 具 体 处 罚 内 容 的 条 款 。 


3.， 其 他 员工 的 内 部 控制 责任 


公司 的 所 有 员工 都 必须 严格 执行 内 部 控制 的 各 项 规定 ， 在 其 责任 范围 
内 协助 首席 执行 官 和 首席 财务 官 设计 、 建 立 、 记 录 并 维护 有 效 的 内 部 控制 。 
同时 ， 有 责任 确保 提供 准确 、 完 整 的 财务 报告 信息 。 此 外 ， 及 时 向 管理 层 
汇报 所 知 的 任何 重大 错误 、 舞 弊 和 /或 非常 规 事项 ， 确 保 公司 内 部 控制 执行 
有 力 。 
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2.1 风险 概述 
2.1.1 风险 的 概念 


所 有 公司 ,无论 规模 、 结 构 和 行业 性 质 ， 都 面临 着 诸多 来 自 内 部 和 外 
部 的 风险 ， 影 响 公司 既定 目标 的 实现 。 例 如 ， 公 司 面临 原材料 价格 上 涨 的 
市 场 风险 ， 产 品质 量 不 合格 的 经 营 风险 ， 违 反 法 律 法 规 的 合 规 风险 等 。 风 
险 是 指 未 来 的 不 确定 性 的 因素 和 事项 对 公司 实现 目标 的 影响 。 

可 见 , 它 突出 了 以 下 方面 : 风险 是 关于 “未 来 的 不 确定 性 ”， 所 有 的 人 
都 不 确定 将 来 的 事情 ， 因 此 是 将 来 存在 的 风险 ， 风 险 与 企业 经 营 目标 紧密 
相关 ， 一 般 来 说 ， 企 业 目标 定 得 越 高 风险 越 大 ， 目 标定 得 越 低 风险 越 小 。 

需要 注意 的 是 ， 风 险 对 实现 企业 的 经 营 目 标 有 坏处 ， 也 可 能 有 好 处 。 
所 谓 好 坏 或 正面 负面 都 是 指 对 结果 的 判断 而 言 的 ， 风 险 本 身 无 所 谓 好 坏 。 
把 风险 看 做 纯粹 的 负面 的 东西 ， 有 利于 专注 防范 风险 带 来 负面 影响 ， 但 同 
时 有 可 能 忽略 风险 中 蕴藏 的 机 会 。 因 此 ， 企 业 对 风险 正 负面 影响 的 考虑 应 
该 结合 在 一 起 ， 这 同 “ 没 有 风险 就 没有 回报 ， 高 回报 蕴涵 着 高 风险 ”的 观 
点 是 一 致 的 ， 收 益 是 对 承担 风险 的 补偿 。 





4 相关 链接 
风险 的 定义 

。 2009 年 11 月 13 日 ， 国 际 标准 化 组 织 颁布 了 风险 管理 标准 ( ISO 

31000;: 2009 Risk management 一 Principles and guidelines ), 为 风险 

管理 提供 了 原则 和 通用 准则 ，ISO/IEC Guide 73: 2009 也 于 同期 

发 布 ， 为 风险 管理 提供 通用 术语 定义 。 其 中 “风险 ”的 定义 是 风 











《企业 内 部 控制 基本 规范 》 


会 , 规 , 实 , 务 ,指南 











险 管理 标准 的 核心 概念 ， 经 ISO 风险 管理 工作 组 4 次 会 议 的 激烈 
讨论 ， 将 “风险 ”定义 确定 为 “不 确定 性 对 目标 的 影响 ”。 
来 源 : JSO31000: 2009 Risk management—Principles and guidelines 






2.1.2 ”风险 的 特性 


风险 具有 以 下 特性 ; 

QD 风险 具有 不 确定 性 。 风 险 什么 时 间 、 地 点 发 生 是 没有 规律 的 。 

外 风险 具有 客观 性 。 风 险 是 客观 存在 的 ,只 要 企业 存在 该 业务 ,那么 
相对 应 的 风险 就 应 该 存在 ， 而 不 论 在 哪 级 管理 层面 上 ， 也 不 会 因为 企业 具 
有 严密 的 控制 措施 而 消失 ， 也 不 能 因为 目前 风险 没有 发 生 ， 就 判断 没有 此 
项 风险 。 

电 风险 具有 对 应 性 。 风险 是 与 业务 相对 应 的 , 不 同 的 业务 存在 不 同 的 
风险 ， 不 能 将 甲 业务 的 风险 列 在 乙 业 务 上 。 

@ 风险 具有 可 避免 性 。 风 险 是 可 以 认识 , 并 可 通过 采取 控制 措施 加 以 
规避 的 。 


2.1.3 ”风险 的 分 类 


1. 按 风险 影响 结果 划分 

风险 按 其 影响 结果 分 为 经 营 决 策 风 险 、 违 反 法 律 法 规 风险 、 财 务 报告 
失真 风险 、 资 产 安全 受到 威胁 风险 和 营私 舞弊 风险 五 类 。 

(1) 经 营 决策 风险 

经 营 决策 风险 是 指 影响 决策 的 时 效 、 依 据 和 质量 的 风险 等 ， 如 

QD 预算 目标 脱离 实际 。 

@@ 没 能 以 合理 的 价格 取得 物资 或 服务 。 
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@ 投资 决策 失误 导致 投资 失败 。 

@ 产品 不 能 及 时 适应 市 场 的 变化 和 需求 。 

(2) 违反 法 律 法 规 风险 

违反 法 律 法 规 风险 是 指 没有 全 面 执行 国家 法 律 、 法 规 和 政策 规定 的 风 
给， 如 

@ 合同 条 款 违法 。 

@ 偷税 。 

@ 违反 现金 管理 条 例 坐支 现金 。 

@ 污染 物 的 排放 不 符合 国家 环保 规定 。 

(3) 财务 报告 失真 风险 

财务 报告 失真 风险 是 指 企业 未 完全 按 会 计 准 则 、 制 度 等 规定 组 织 会 计 
核算 和 披露 信息 ， 导 致 财务 报告 在 完整 性 、 准 确 性 等 方面 存在 问题 ， 如 

Q@ 将 资本 化 的 支出 费用 化 或 将 费用 化 的 支出 资本 化 。 

@ 会 计 记录 错误 ( 金额、 科目 、 期 间 错误 )。 

@ 账 实 不 符 。 

@ 产品 交接 计量 错误 。 

(4) 资产 安全 受到 威胁 风险 

资产 安全 受到 威胁 风险 是 指 由 于 管理 制度 不 健全 或 执行 不 到 位 ， 企 业 
实物 资产 如 设备 、 存 货 、 证 券 、 资 金 和 其 他 资产 的 安全 受到 威胁 ， 如 

Q@ 挪用 现金。 

@ 存货 毁损 被 盗 。 

@ 资产 处 置 未 经 适当 的 授权 导致 资产 流失 。 

(5) 营私 舞 兽 风险 

营私 舞弊 风险 是 指 以 故意 的 行为 获得 不 公平 或 非法 的 收益 ， 如 


fy 
人 
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QD 人 为 调节 收入 。 

@@ 挪用 现金 。 

(3 与 审计 师 合 谋 得 改 审 计 报 告 。 
@ 偷税 。 


2.， 按 风险 重要 程度 划分 


风险 按照 其 重要 程度 划分 为 关键 风险 和 一 般 风 险 。 

(1) 关键 风险 

关键 风险 是 指 影 响 重 大 ， 其 发 生 的 频率 、 后果、 影响 金额 较 大 的 风险 。 
关键 风险 的 发 生 将 直接 会 导致 财务 报告 的 错 报 ， 或 重大 经 营 损 失 ， 或 舞 次 
行为 的 发 生 。 对 于 关键 风险 要 给 予 重点 防范 。 

(2) 一 般 风险 

一 般 风 险 是 指 影响 不 大 ,其 发 生 的 频率 、 后果、 影响 金额 较 小 的 风险 。 

风险 重要 程度 的 判断 主要 根据 风险 发 生 的 可 能 性 和 影响 程度 来 确定 。 

库存 现金 管理 存在 的 风险 如 表 2-1 所 示 。 


表 2-1 风险 重要 程度 判断 举例 一 一 库存 现金 风险 
A | 关键 风险 可 能 性 
出 纳 岗 位 未 按 相 关 规定 进行 岗位 分 离 和 轮换 
现金 收 付 未 经 过 适当 的 授权 ( 包括 申请 、 复 核 和 审批 等 ) 
现金 收入 、 支 付 不 符合 相关 法 律 法 规 的 规定 
库存 现金 余额 账 实 不 符 




















3. 按 风 险 应 对 策略 所 在 层面 划分 


风险 按照 其 应 对 策略 所 在 层面 的 不 同 ， 分 为 公司 层面 风险 和 业务 层面 
风险 。 
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(1) 公司 层面 风险 

公司 层面 风险 是 从 公司 整体 角度 对 实现 战略 目标 和 对 公司 整体 声誉 等 
方面 产生 负面 影响 的 因素 ， 如 宏观 经 济 的 不 确定 性 风险 、 关 联 交 易 公 平 性 
风险 、 舞 弊 风 险 等 。 

《2) 业务 层面 风险 

业务 层面 风险 是 指 与 公司 的 主要 生产 经 营 活动 及 管理 职能 有 关 的 风 
险 ， 包 括 采 购 、 生 产 、 市 场 营销 、 销 售 、 技 术 开 发 ， 以 及 研发 、 人 力 资源 
管理 、 财 务 管理 等 业务 和 管理 活动 中 存在 的 风险 。 


4. 按 是 否 为 企业 带 来 赢利 划分 


以 能 否 为 企业 带 来 赢利 等 机 会 为 标志 ， 可 以 将 风险 分 为 纯粹 风险 ( 只 
有 带 来 损失 一 种 可 能 性 ) 和 机 会 风险 ( 带 来 损失 和 赢利 的 可 能 性 并 存 )。 


考 , 相关 链接 









纯粹 风险 与 机 会 风险 

e 纯粹 风险 ， 也 也 无 意识 风险 ， 如 欺诈 或 产品 滞销 的 风险 。 此 类 风 
险 只 有 负面 影响 ， 通 常 是 由 内 部 因素 导致 的 ， 如 财务 欺诈 风险 或 
者 由 于 人 力 资源 部 门 、 运 营 部 门 、IT 部 门 或 战略 部 门 的 问题 而 出 
现 的 风险 。 无 意识 风险 构成 企业 经 营 的 间接 成 本 。 

e 机 会 风险 ， 也 叫 战 略 风 险 ， 也 就 是 公司 为 了 迄 寻 战略 目标 而 承担 
的 风险 ， 如 进入 新 市 场 的 风险 。 战 略 风险 既 有 负面 影响 ,又 有 正 
面 影响 ， 通 常 都 是 由 外 部 因素 ( 如 市 场 、 客 户 、 供 应 商 及 监管 机 
构 等 ) 引起 的 。 企 业 需 要 仔细 评估 这 些 风 险 ， 使 之 符合 自身 的 战 
略 和 风险 承受 度 。 


综 上 所 述 ， 风 险 的 分 类 如 图 2-1 所 示 。 
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经 营 决策 风险 
违反 法 律 法 规 风 险 


按 影响 结果 财务 报告 失真 风险 
资产 安全 受到 威胁 风险 


按 应 对 策略 
所 在 层面 


按 是 否 带 来 赢利 





图 2-1 风险 的 类 别 


2.1.4 ”风险 承受 度 





根据 《 内控 规范 》 第 二 十 一 条 ， 风 险 承受 度 是 企业 能 够 承担 的 风险 限 
度 ， 包括 整体 风险 承受 能 力 和 业务 层面 的 可 接受 风险 水 平 。 

首先 ， 公 司 需 要 针对 某 目标 设立 一 个 总 体 的 风险 承受 度 ， 即 确定 公司 
可 以 承受 的 目标 最 大 值 和 目标 最 小 值 。 

其 次 ， 将 该 目标 在 多 个 业务 单元 ( 层面 ) 内 自 上 而 下 进行 分 解 ， 公 司 
就 可 确定 分 解 到 业务 单元 (层面 ) 后 该 目标 的 风险 承受 度 ， 即 确定 各 业务 
单元 偏离 其 目标 的 最 大 值 和 最 小 值 ， 但 业务 单元 的 风险 承受 度 在 汇总 后 不 
能 超出 总 体 的 风险 承受 度 。 
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比如 ， 某 公司 2010 年 的 销售 目标 是 在 2009 年 的 基础 上 增长 20%， 达 
到 人 民 币 10 亿 元 , 旗下 有 2 个 业务 单元 甲 和 乙 ， 目 标 分 别 是 4 亿 元 与 6 
亿 元 。 如 果 销 售 目标 总 体 可 以 承受 的 目标 最 小 值 和 目标 最 大 值 分 别 是 8 亿 
元 和 15 亿 元 , 然后 在 甲乙 两 个 业务 单元 进行 分 解 , 甲 单元 可 以 承受 的 目标 
最 小 值 和 目标 最 大 值 分 别 是 3 亿 元 和 6 亿 元 ， 乙 单元 可 以 承受 的 目标 最 小 
值 和 目标 最 大 值 分 别 是 5 亿 元 和 9 亿 元 ， 如 图 2-2 所 示 。 





8 -一 一 10 一 :一 "15 
人 EA A Ns 
/ AN / AN / AS 
3+5 4+6 6+9 


图 2-2 风险 承受 度 分 解 


从 图 2-2 可 以 看 出 , 该 公司 2010 年 针对 销售 目标 总 体 的 风险 承受 度 是 
8 亿 ~ 15 亿 元 ; 业务 单元 层面 ， 甲 单元 的 风险 承受 度 是 3 亿 ~ 6 亿 元 ， 乙 
单元 的 风险 承受 度 是 5 亿 ~ 9 亿 元 。 

根据 《内 控 规 范 》 的 要 求 ， 确 定 相应 的 风险 承受 度 ， 企 业 应 当 准 确 识 
别 与 实现 控制 目标 相关 的 内 部 风险 和 外 部 风险 。 

(1) 企业 识别 内 部 风险 ， 应 当 关 注 下 列 因素 

。 董事 、 监 事 、 经 理 及 其 他 高 级 管理 人 员 的 职业 操守 ， 员 工 专业 胜任 

能 力 等 人 力 资源 因素 。 
。 组织 机 构 、 经 营 方式 、 资 产 管理 、 业 务 流程 等 管理 因素 。 
。 研究 开发 技术 投入 、 信 息 技 术 运 用 等 自主 创新 因素 。 
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合 规 实务 指南 一 


。 财务 状况 、 经 营 成 果 、 现 金 流量 等 财务 因素 。 

。 营运 安 全 、 员 工 健康 、 环 境 保护 等 安全 环保 因素 。 

。 其 他 有 关内 部 风险 因素 。 

《2) 企业 识别 外 部 风险 ， 应 当 关 注 下 列 因 素 

。 经 济 形势 、 产 业 政 策 、 融 资 环 境 、 市 场 竞争 、 资 源 供给 等 经 济 因素 。 

。 法律 法 规 、 监 管 要 求 等 法 律 因素 。 

。 安全 稳定 、 文 化 传统 、 社 会 信用 、 教 育 水 平 、 消 费 者 行为 等 社会 因 
素 。 

。 技术 进步 、 工 艺 改进 等 科学 技术 因素 。 

。 自然 灾害 、 环 境 状 况 等 自然 环境 因素 。 

。 其 他 有 关外 部 风险 因素 。 


+ 相关 链接 
风险 承受 度 


。 2004 年 COSO《 企 业 风险 管理 一 整合 框架 》 引 入 了 风险 容量 (Risk 
Appetite ) 和 风险 容 限 ( Risk Tolerances ) 两 个 概念 。 风 险 容量 是 
指 一 个 企业 在 追求 价值 的 过 程 中 愿意 接受 的 风险 水 平 ， 它 在 战略 
制定 和 相关 目标 选择 时 起 到 风向 标的 作用 。 风 险 容 限 是 指 对 于 一 
项 具体 管理 目标 可 以 接受 的 偏离 程度 。 

e《 内 控 规 范 》 第 二 十 一 条 :“ 企 业 开展 风险 评估 ， 应 当 准 确 识别 与 
实现 控制 目标 相关 的 内 部 风险 和 外 部 风险 ， 确 定 相 应 的 风险 承受 
度 。 风 险 承 受 度 是 企业 能 够 承担 的 风险 限度 ， 包 括 整体 风险 承受 
能 力 和 业务 层面 的 可 接受 风险 水 平 。 

e。《 内控 规 范 》 将 风险 容量 和 风险 容 限 统一 用 风险 承受 度 表 示 。 
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2.2 风险 评估 的 一 般 程序 


风险 评估 是 企业 及 时 识别 、 系 统 分 析 经 营 活动 中 与 实现 内 部 控制 目标 
相关 的 风险 ， 合 理 确定 风险 应 对 策略 的 过 程 ， 是 风险 管理 的 基础 。 在 风险 
评估 中 ， 既 要 识别 和 分 析 对 实现 目标 具有 阻碍 作用 的 风险 ， 也 要 发 现 对 实 
现 目标 具 有 积极 影响 的 机 遇 。 


风险 评估 主要 经 过 目标 设 定 、 风 险 识 别 、 风 险 分 析 、 风 险 应 对 四 个 基 

本 程序 ， 如 图 2-3 所 示 。 
目标 设 定 
i 
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[ 
| 
| 
| 














图 2-3 风险 评估 的 一 般 程序 
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《 相关 链接 
风险 识别 模型 


。 风险 识别 模型 可 以 分 为 四 类 : 一 是 目标 导向 型 风险 识别 ， 任 何 可 
能 危及 整体 及 部 分 目标 实现 的 事件 都 可 以 视 做 风险 ; 二 是 情景 导 
向 风险 识别 ， 情 景 可 以 理解 为 达到 目的 的 不 同方 式 ， 任 何 触发 不 
希望 情景 的 事件 都 被 视 做 风险 ; 三 是 分 类 导向 风险 识别 ， 依 据 风 
险 事故 对 风险 实施 编辑 ; 四 是 经 验 导向 风险 识别 ， 将 经 验 转化 为 
知识 库 ， 如 对 常见 风险 做 出 检查 表 ， 进 行 对 照 等 。 

《内 控 规范 》 中 的 风险 评估 属于 典型 的 目标 导向 分 类 风险 识别 ， 
认为 风险 评估 由 企业 战略 目标 指引 和 决定 ， 对 企业 战略 目标 的 确 
定 与 认同 是 开展 风险 评估 的 基础 工作 。 因 此 ， 凤 险 评估 的 首要 步 
又 是 目标 设 定 ， 目 标 设 定 首要 是 战略 目标 。 








1. 目标 设 定 


目标 设 定 是 风险 识别 、 风 险 分 析 和 风险 应 对 的 前 提 。 公 司 必须 首先 制 
定 目标 ， 在 此 之 后 ， 才 能 识别 和 评估 影响 目标 实现 的 风险 并 采取 必要 的 行 
动 对 这 些 风险 实施 控制 。 

公司 目标 包括 四 个 方面 : 战略 目标 、 经 营 目 标 、 合 规 性 目标 和 财务 报 
告 目 标 。 目 标的 确定 必须 符合 国家 的 法 律 法 规 和 行业 发 展 规划 ， 符 合 公司 
战略 发 展 计 划 ， 符 合 上 市 地 证 券 监管 机 构 的 规定 。 

(1) 战略 目标 

战略 目标 是 公司 高 层次 的 目标 ， 体 现 了 公司 的 长 远 发 展 目标 和 方向 。 
广义 上 讲 还 包括 公司 的 愿景 、 使 命 。 

以 华为 公司 为 例 : 


3 
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愿景 丰富 人 们 的 沟通 和 生活 。 

使 命 聚焦 客户 关注 的 挑战 和 压力 ， 提 供 有 竞争 力 的 通信 和 解决 方案 和 
服务 ， 持 续 为 客户 创造 最 大 价值 。 

以 客户 为 中 心 的 战略 ”为 客户 服务 是 华为 存在 的 唯一 理由 ; 客户 需求 
是 华为 发 展 的 原动力 。 质 量 好 ,服务 好 ,运作 成 本 低 ， 优先 满足 客户 需求 ， 
提升 客户 竞争 力 和 赢利 能 力 。 持 续 管理 变革 ， 实 现 高 效 的 流程 化 运作 ， 确 
保 端 到 端的 优质 交付 。 与 友 商 共同 发 展 ， 既 是 竞争 对 手 ， 也 是 合作 伙伴 ， 
共同 创造 良好 的 生存 空间 ， 共 享 价值 链 的 利益 。 


(2) 经 营 目标 

经 营 目 标 是 关于 公司 经 营 的 效果 和 效率 ， 包 括 业 绩 和 利润 性 目标 ， 以 
及 公司 生产 经 营 持 续 进行 的 资源 保障 等 。 制 定 符 合 实际 的 经 营 目 标 是 保证 
战略 目标 实现 的 要 求 ， 如 年 度 销售 目标 、 新 产品 开发 计划 、 利 润 目标 等 。 
同时 ， 公 司 也 应 考虑 经 营 目 标 是 否 会 对 财务 报告 产生 影响 ， 并 予以 重点 
关注 。 

(3) 报告 目标 

报告 目标 是 关于 编制 可 靠 的 报告 ,包括 内 部 和 外 部 报告 目标 ， 可 能 
涉及 财务 和 非 财务 信息 。 比 如 ， 为 公司 管理 层 提供 准确 、 完 整 的 经 营 管理 
信息 ， 为 对 外 披露 提供 真实 、 准 确 、 完 整 、 及 时 的 财务 会 计 报 告 及 其 相关 
资料 。 

(4) 合 规 性 目标 

公司 必须 遵守 中 国法 律 法 规 、 海 外 企业 当地 法 律 法 规 和 上 市 地 法 律 监 
管 规定 ， 而 且 采 取 必 要 的 具体 行动 。 各 种 适用 的 法 律 法 规 确立 了 公司 融入 
其 合 规 性 目标 的 最 低 的 行为 准则 。 

目标 类 别 及 关系 如 图 2-4 所 示 。 
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战略 目标 
企业 的 高 层次 目标 , 与 企 
业 的 使 命 或 愿景 相 联系 并 
娄 持 其 实现 

















与 使 用 企业 资源 进行 经 
营 的 效果 和 效率 相关 , 包括 








报告 目标 





与 企业 报告 的 可 靠 性 相 
关 ， 包 括 企业 内 部 和 外 部 的 


合 规 目标 





与 企业 对 其 适用 的 相关 
法 律 和 法 规 的 遵循 性 相关 





绩 和 赢利 能 力 目标 、 保 护 


A 报告 ， 既 包括 财务 信息 ， 也 
资产 安全 的 目标 


包括 非 财务 信息 














图 2-4 目标 类 别 及 关系 


2. 风险 识别 
风险 识别 是 指 查找 公司 各 项 重要 经 营 管理 活动 及 其 重要 业务 流程 中 存 
在 的 影响 目标 实现 的 风险 和 机 遇 的 过 程 。 


(1) 风险 识别 的 主要 方法 
风险 识别 的 主要 方法 如 图 2-5 所 示 。 


风险 识别 
小 组 讨论 访谈 


图 2-5 















参考 专业 机 
构 咨 询 意见 


风险 识别 的 主要 方法 








@ 小 组 讨论 。 内 部 控制 管理 部 门 组 织 风险 管理 人 员 和 相关 部 门 具有 让 
富 经 验 的 管理 人 员 ， 按 业务 类 别 和 人 员 构 成 进行 分 组 讨论 ， 形 成 意见 。 

@) 访谈 。 内 部 控制 管理 部 门 组 织 人 员 , 制定 详细 的 访谈 计划 ,对 相关 
部 门 熟 悉 业 务 流 程 的 管理 人 员 进 行 访谈 ， 了 解 和 讨论 存在 的 风险 ， 形 成 访 
谈 记 录 。 


.6 . 
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@ 问卷 调查 。 内 部 控制 管理 部 门 编制 风险 调查 问卷 , 收集 、 整 理 反馈 
意见 确定 相关 风险 。 

@ 案例 分 析 。 内 部 控制 管理 部 门 定期 收集 公司 或 同行 业 发 生 的 有 关 案 
例 ， 组 织 相 关 人 员 进 行 讨论 ， 通 过 对 案例 中 妨碍 目标 实现 的 负面 因素 进行 
分 析 来 识别 风险 。 

(3) 参考 专业 机 构 咨询 意见 。 内 部 控制 管理 部 门 通过 向 专业 机 构 (如 风 
险 管理 咨询 公司 、 公 司法 律 顾问 等 ) 进行 咨询 ， 参 考 专业 机 构 提 供 的 风险 
数据 库 或 咨询 意见 ， 结 合 公司 实际 情况 识别 风险 。 

@ 征求 专家 意见 。 对 初步 识别 形成 的 风险 数据 库 ， 内 部 控制 管理 部 
门 通过 召开 座谈 会 、 评 审 会 等 形式 ， 向 公司 内 、 外 部 有 关 专 家 、 学 者 征求 
意见 。 

(2) 公司 风险 识别 的 概述 

风险 识别 应 分 别 从 公司 层面 、 业 务 层面 ， 动 态 识别 影响 公司 战略 目标 
及 相关 目标 实现 的 、 内 部 和 外 部 的 各 种 不 确定 性 因素 。 

1 ) 公司 层面 风险 识别 

从 公司 战略 发 展 的 角度 ， 识 别 影响 目标 实现 的 因素 ， 识 别 公 司 层面 面 
临 的 所 有 重大 的 不 利 因素 和 有 利 因素 ， 从 而 识别 风险 ， 发 现 机 遇 。 这 些 因 
素来 自 外 部 和 内 部 两 个 方面 : 外 部 因素 主要 包括 政治 因素 、 经 济 因素 、 社 
会 因素 、 自 然 环境 因素 等 ， 内 部 因素 主要 包括 基础 设施 因素 、 员 工 因素 、 
流程 因素 和 技术 因素 等 。 

收集 、 分 析 、 整 理 对 公司 内 部 、 国 内 同行 业 和 国外 同行 业 的 风险 事件 
及 案例 ， 初 步 形成 风险 数据 库 ; 通过 分 析 历 史 数 据 和 行业 资料 ， 查 找 风险 
发 生 的 内 外 部 原因 ， 分析 风险 发 生 的 可 能 性 和 影响 程度 ， 运 用 公司 的 风险 
评估 标准 对 风险 评分 ， 确 定 公 司 层面 重大 风险 清单 。 举 例如 表 2-2 所 示 。 
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表 2-2 公司 层面 重大 风险 清单 举例 
























风 | 风 | 风险 描述 
序 | 险 | 险 | 涉及 的 重 | 重要 部 
号 | 名 | 类 | 风险 说 明 损失 或 影响 风险 原因 要 业务 | 门 或 企 
称 | 别 业 
资金 、. 销 | 财务 
售 、 投 资 、| 部 门 、 
研发 .生产 | 销售 部 










劳动 纪律 
@ 作业 情况 复杂 ， 
技术 要 求 高 ,存在 不 稳 


匠 妇 当 尖 中 六 溉 启 
枉 台 于 沾 
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2 ) 业务 层面 风险 识别 

业务 层面 风险 识别 是 通过 根据 一 定 的 规范 、 采 用 一 定 的 方法 对 业务 流 
程 进行 描述 ， 在 业务 流程 描述 的 基础 上 ， 以 业务 流程 步骤 为 主线 ， 全 面 识 
别 影 响 目标 实现 的 相关 因素 。 

业务 层面 风险 评估 从 财务 报告 目标 出 发 ， 具 体 参考 本 书 第 3 章 介绍 的 
方法 ， 确 定 财务 报表 中 的 重要 会 计 科 目 和 重要 业务 流程 ， 按 照 风 险 评估 的 
基本 程序 对 会 计 科 目的 存在 与 发 生 、 完 整 性 、 估 价 与 分 摊 、 权 利 与 义务 、 
表达 与 披露 的 风险 进行 评估 ， 初 步 建立 了 财务 报告 风险 数据 库 。 举 例如 表 
2-3 所 示 。 


表 2-3 报告 风险 数据 库 举例 





相关 风险 
会 计 业务 处 理 缺乏 适当 的 权 责 分 离 
账 账 、 账 实 不 符 ， 会 计 信息 不 准确 
会 计 业 务 外 理 | 会 计 记 录 处 理 未 经 有 效 授权 (BRP ) 
未 及 时 发 现 或 处 理 接口 传递 中 的 错误 数据 (ERP ) 
坏账 准备 的 计 提 和 转 回 不 及 时 、 不 准确 
坏账 准备 的 计 提 和 转 回 未 经 有 效 审批 
坏账 准备 的 会 计 估计 不 合理 ， 坏 账 准备 计算 不 准确 
账 礁 的 统计 和 记录 不 准确 
存货 跌价 准备 的 计 提 和 转 回 不 及 时 、 不 准确 
存货 跌价 准备 的 计 提 和 转 回 未 经 有 效 审批 
对 供应 商 数据 库 更 新 不 及 时 或 修改 错误 
未 经 授权 修改 供应 商 的 信息 
物资 采购 处 理 缺乏 适当 的 权 责 分 离 
采购 生产 采购 ”| 应 当 支付 的 金额 不 准确 
预付 款项 与 合同 规定 不 符 
暂 估 存 货 人 库 记 录 不 准确 、 不 完整 
重复 付款 














财务 报告 


减 值 准备 
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在 公司 业务 流程 梳理 的 同时 ， 逐 步 开 展业 务 活 动 层面 经 营 风险 、 合 规 
风险 的 评估 工作 ， 逐 步 形 成 业务 活动 层面 经 营 风险 数据 库 。 举 例如 表 2-4 
所 示 。 







表 2-4 经 营 风 险 数 据 库 举例 
风险 定义 | 
由 于 缺乏 对 新 建 项 目的 专业 评估 
和 有 效 审 批 等 因素 ， 导 致 投资 决策 
失误 或 投资 项 目 回报 率 低 
由 于 年 底 投 资 计划 未 经 有 效 审 
批 、 未 完全 按照 计划 下 达 内 容 组 织 
有 效 实施 等 因素 ， 造 成 计划 外 项 目 ， 
影响 投资 目标 的 实现 





风险 描述 















新 建 项 目 选择 不 符合 公司 经 营 目 
标 及 需要 










投资 风险 






年 度 投资 计划 的 执行 与 计划 不 符 






@ 未 能 满足 境内 外 监管 机 构 及 投 
资 者 咨询 问题 的 要 求 

@ 路 演 报告 及 问答 提纲 内 容 不 真 
实 、 不 准确 、 不 完善 

@ 突 发 事件 发 布 的 内 容 不 真实 、 
不 准确 

@ 发 布 信息 内 容 不 真实 、 不 准备 、 
不 完整 

@ 媒体 应 答 信 息 内 容 不 真实 、 不 
准确 







公共 关系 风险 是 指 因 路 演 管理 、 
危机 管理 、 媒 体 监测 等 口径 不 一 致 、 
职责 不 明确 、 归 口 部 门 职责 缺乏 ， 
可 能 导致 公共 关系 工作 不 适当 而 损 
害 公司 公众 形象 的 风险 








公共 关系 
风险 
























信用 风险 是 指 由 于 交易 对 手 不 执 
行 履约 责任 而 导致 的 风险 。 主 要 表 
现在 交易 对 手 违约 、 单 一 客户 信用 
集中 度 风 险 、 合 约 对 手 清偿 能 力 和 
清偿 意愿 的 不 确定 性 带 来 的 信用 风 
险 等 





中 对 各 对 家 浮动 盈 气 及 超 限 情况 
掌握 不 及 时 、 不 准确 

加 未 经 授权 或 审批 授予 对 家 信用 
额度 

园 记录 各 对 家 的 盈亏 数据 不 准确 


信用 风险 
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3， 风 险 分 析 


风险 分 析 主 要 从 风险 发 生 的 可 能 性 和 对 公司 目标 的 影响 程度 两 个 角度 
来 分 析 。 在 风险 分 析 的 过 程 中 ， 设 定 一 个 统一 的 标准 对 各 个 风险 发 生 的 可 
能 性 和 影响 程度 分 别 进行 定量 的 评分 ， 从 而 按 风险 值 (= 风险 可 能 性 分 值 x 
风险 影响 分 值 ) 对 风险 进行 排序 。 

一 般 来 说 ， 风 险 发 生 的 可 能 性 可 分 为 基本 确定 、 极 可 能 、 可 能 、 可 能 
性 低 和 可 能 性 极 低 五 类 ， 风 险 造成 的 影响 程度 可 以 分 为 灾难 、 重 大 、 中 等 、 
轻微 、 可 以 忽略 五 类 ; 为 了 量化 表示 ， 可 以 将 这 五 类 分 别 以 5、4、3、2、 
1 五 个 数字 进行 评分 。 

风险 分 析 方 法 一 般 采 用 定性 和 定量 方法 组 合 而 成 。 在 风险 分 析 不 适宜 
采取 定量 分 析 的 情况 下 ， 或 者 用 于 定量 分 析 所 需 的 足够 可 信 的 数据 无 法 获 
得 ， 或 者 获取 成 本 很 高 时 ， 公 司 通常 使 用 定性 分 析 法 。 

(1) 风险 发 生 的 可 能 性 分 析 〈 频 率 、 概 率 ) 

可 能 性 分 析 是 指 假定 不 采取 任何 措施 去 影响 经 营 管理 进程 的 情况 下 ， 
将 会 发 生 风险 的 概率 大 小 的 分 析 。 

由 于 不 同类 别 的 风险 , 很 难 用 一 个 统一 的 、 固 定 的 概率 或 次 数 来 划分 ， 
因此 , 可 以 按 不 同 的 风险 类 别 设 定 不 同 的 划分 标准 来 确定 风险 可 能 性 级 别 。 
风险 可 能 性 的 级 别 确 定 ， 可 以 采用 风险 发 生 的 概率 或 一 定时 期 风险 发 生 的 
次 数 来 判断 。 

中 比如 ， 如 果 能 够 判断 相关 风险 发 生 的 概率 ， 我 们 可 以 采用 下 面 的 
标准 : 

。 如果 风 险 发 生 的 概率 大 于 0 但 小 于 或 等 于 5%, 我 们 确定 为 风险 “可 

能 性 极 低 ”。 
。 如 果 风 险 发 生 的 概率 大 于 5% 但 小 于 或 等 于 35%， 我 们 确定 为 风险 
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“可 能 性 低 ”。 
。 如果 风 险 发 生 的 概率 大 于 35% 但 小 于 或 等 于 50%， 我 们 确定 为 风险 
“可 能 ”。 
。 如 果 风 险 发 生 的 概率 大 于 50% 但 小 于 或 等 于 95%， 我 们 确定 为 风险 
“ 极 可 能 ”。 
。 如 果 风 险 发 生 的 概率 大 于 95% 但 小 于 100%, 我 们 确定 为 风险 “基本 
这 种 标准 适用 于 可 以 通过 历史 数据 计算 出 风险 发 生 概 率 的 风险 ， 如 某 
个 地 区 人 均 寿命 。 
@ 比如 , 如 果 能 够 判断 一 定时 期 风险 发 生 的 次 数 , 我 们 可 以 采用 下 面 
的 标准 : , 
。 今后 10 年 内 发 生 的 可 能 少 于 1 次 ,我 们 确定 为 风险 “可 能 性 极 低 ”。 
。 今 后 5~ 10 年 内 可 能 发 生 1 次 ， 我们 确定 为 风险 “可 能 性 低 ”。 
。 今后 2~5 年 内 可 能 发 生 1 次， 我们 确定 为 风险 “可 能 ”。 
。 今后 1 年 内 可 能 发 生 1 次 ， 我们 确定 为 风险 “ 极 可 能 ”。 
。 今后 1 年 内 至 少 发 生 1 次 ， 我 们 确定 为 风险 “基本 确定 ”。 
这 种 标准 适用 于 大 型 自然 灾害 /不 可 抗力 因素 的 潜在 风险 ， 如 地 震 、 海 
哺 、 政 治 动乱 等 。 
上 述 两 个 标准 如 表 2-5 所 示 。 


表 2-5 可 能 性 评估 标准 














| 可 能 性 (定性 ) | 发 生 概 率 (定量 ) | 一 定时 期 风险 发 生 的 次 数 〈 定 量 ) 
基本 确定 >95% 今后 1 年 内 至 少 发 生 !1 次 

全 1 生 内 可 能 全 1 交 

35% ~ 50% 今后 2~5 年 内 可 能 发 生 1 次 


可 能 性 低 5% ~ 35% 今后 5~ 10 年 内 可 能 发 生 1 次 
可 能 性 极 低 

























今后 10 年 内 发 生 的 可 能 少 于 1 次 
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对 于 风险 发 生 的 概率 的 估计 ， 一般 考虑 以 下 因素 : 

一 是 与 风险 相关 的 资产 的 变现 能 力 ( 主要 指 变现 难 易 程度 )。 如 果 资 产 
变现 能 力 越 强 ， 则 风险 发 生 的 概率 就 高 ， 反之， 风险 发 生 的 概率 就 低 。 

二 是 经 营 管理 中 人 工 参与 的 程度 。 凡 是 人 工 参 与 程度 越 高 ， 而 自动 化 
程度 越 低 ， 则 风险 发 生 的 概率 就 越 高 ， 反之， 风险 发 生 的 概率 就 低 。 

三 是 经 营 管理 中 是 否 涉 及 大 量 的 、 繁 杂 的 人 工 计算 。 凡 是 涉及 大 量 的 、 
繁杂 的 人 工 计算 ,风险 发 生 的 概率 就 高 ， 反 之 ， 风 险 发 生 的 概率 就 低 。 

四 是 要 参考 相关 风险 事件 过 去 发 生 的 情况 。 如 果 曾 经 发 生 过 ， 而 且 带 
有 普遍 性 ， 那 么 风险 发 生 的 概率 就 高 ; 反之 ， 风 险 发 生 的 概率 就 低 。 

五 是 要 预计 公司 未 来 发 展 及 业务 变化 情况 。 如 果 公 司 高 速 发 展 ， 而 且 
业务 复杂 、 变 化 频繁 的 话 ， 风 险 发 生 的 概率 就 高 ; 反之 ， 风 险 发 生 的 概率 
就 低 。 

(2) 风险 影响 程度 分 析 

风险 分 析 中 ， 除 了 进行 风险 发 生 可 能 性 分 析 外 ， 还 要 对 风险 影响 程度 
进行 分 析 。 风 险 影 响 程度 分 析 主 要 指 风险 对 目标 实现 的 负面 影响 程度 ， 风 
险 造 成 的 影响 程度 可 以 分 为 灾难 、 重 大 、 中 等 、 轻 微 、 可 以 忽略 五 类 。 当 
然 ， 风 险 影响 程度 是 相对 某 个 既定 目标 而 言 的 ， 所 以 在 进行 影响 程度 分 析 

， 必 须 明 确 风 险 分 析 相 对 应 的 目标 是 什么 ， 可 能 存在 对 经 营 目 标 没 有 影 
向 冯 玉 响 很 小 但 寺 于 报告 卓 标 影响 程度 就 大 的 情况 。 

1 ) 定量 分 析 

定量 分 析 要 参考 风险 承受 度 ， 如 影响 程度 超过 某 个 风险 对 应 目标 的 风 
险 承 受 度 , 那么 影响 程度 定位 重大 及 以 上 ; 反之 , 影响 程度 是 中 等 及 以 下 。 
表 2-6 是 影响 程度 定量 分 析 的 一 个 例子 。 
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表 2-6 影响 程度 定量 分 析 举 例 
影响 程度 定量 分 析 
影响 税 前 利润 达 20% 
影响 5% ~ 10% 的 税 前 利润 





影响 1% ~ 5% 的 税 前 利润 
影响 小 于 1% 的 税 前 利润 
影响 小 于 1%o 的 税 前 利润 

定量 分 析 能 带 来 更 高 的 精确 度 。 定 量 分 析 一 般 需 要 更 高 程度 的 努力 和 
严密 性 ， 有 时 采用 数学 模型 。 定 量 分 析 高 度 依赖 于 支持 性 数据 和 假设 的 质 
量 ， 并 且 与 有 着 已 知 历史 和 做 可 靠 预测 的 风险 暴露 高 度 相关 。 

2 ) 定性 分 析 

除 运用 定量 分 析 外 ， 在 不 适宜 采取 定量 分 析 的 情况 下 ， 或 者 用 于 定量 
分 析 所 需 的 足够 可 信 的 数据 无 法 获得 ， 或 者 获取 成 本 很 高 时 ， 公 司 通常 使 
用 定性 分 析 法 。 

如 果 风 险 对 于 目标 的 实现 ， 将 会 产生 直接 的 、 决 定性 的 影响 ， 就 属于 
风险 影响 程度 “大 ”， 如 财务 会 计 报 告 未 经 过 有 效 的 审核 , 将 会 对 报告 的 真 
实 性 和 准确 性 产生 直接 的 、 决 定性 的 影响 ， 因 此 ， 该 项 风险 被 认定 为 影响 
程度 “大 ”; 反之 ， 如 果 风 险 对 于 目标 的 实现 ， 只 是 产生 间接 、 非 决定 性 的 
影响 , 就 属于 风险 影响 程度 “小 ”， 如 没有 定期 维修 机 器 设备 ， 对 于 财务 会 
计 报 告 的 真实 性 、 准 确 性 只 会 产生 间接 的 、 非 决定 性 的 影响 ， 因 此 ， 该 项 
风险 属于 影响 程度 “小 ”。 

又 如 ， 公 司 声誉 风险 很 难 量 化 ， 可 以 采用 定性 分 析 ， 如 表 2-7 所 示 。 








表 2-7 声誉 风险 定性 分 析 
评 分 | 影响 程度 | EN 
”| | 负面 消息 流传 世界 各 地 ， 被 中 央 政 府 部 门 或 监管 机 构 高 
度 关注 ， 或 开展 调查 ， 引 起 公众 媒体 极 大 关注 并 呼吁 采取 
行动 ， 对 企业 声誉 造成 无 法 弥补 的 损害 
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续 表 
评 分 | 影响 程度 定性 分 析 
负面 消息 在 全 国 各 地 流传 ， 对 企业 声誉 造成 重大 损害 ， 
被 全 国 性 媒体 持续 报道 ， 被 中 央 政 府 部 门 关注 
负面 消息 在 全 国 流传 ， 被 地 方 政府 部 门 关注 
媒体 关注 ， 负 面 消息 在 当地 局 部 流传 ， 对 企业 声誉 造成 
轻微 损害 
负面 消息 在 企业 内 部 流传 ， 企 业 声 誉 没有 受 损 




















3 ) 定量 与 定性 相 结 合 
很 多 情况 下 ， 因 为 业务 及 其 风险 的 自然 属性 ， 很 难 单独 定量 分 析 或 者 
定性 分 析 ， 需 要 定量 分 析 与 定性 分 析 结 合 起 来 。 比 如 ， 表 2-8 所 示 的 环保 


表 2-8 环保 风险 定量 与 定性 结合 分 析 





评分 | 影响 程度 | 定量 与 定性 结合 分 析 | 
无 法 弥补 的 灾难 性 环境 损害 ; 需要 3 年 以 上 的 时 间 来 恢复 ， 
5 灾难 ”| 或 者 人 类 所 掌握 的 现代 科技 尚 无 法 恢复 激 起 公众 的 愤怒 和 口 


诛 笔 伐 ; 潜在 的 大 规模 的 集体 诉讼 的 迹象 
造成 主要 的 、 长 期 的 环境 损害 ; 需 执 行 重大 的 补救 措施 ， 且 
要 6 个 月 到 3 年 左右 的 时 间 来 恢复 ; 大 规模 的 公众 投诉 

对 环境 造成 中 等 影响 ; 需 一 定 程度 的 补救 措施 , 需 6 个 月 或 
以 内 的 时 间 才 能 恢复 ， 出 现 个 别 投诉 事件 
对 环境 或 社会 造成 一 定 的 影响 , 但 不 破坏 生态 系统 ; 被 政府 
有 关 部 门 关注 或 需要 通知 政府 有 关 部 门 可 不 采取 行动 
对 环境 或 社会 造成 短暂 的 影响 ， 可 不 采取 行动 


4 重大 





























相关 链接 
风险 分 析 的 方法 
e 当代 企业 应 用 最 为 广泛 的 几 种 风险 度量 与 分 析 方法 包括 : 风险 价 
值 法 (Value at Risk，VAR ); 情景 分 析 法 ; 风险 调整 资本 收益 法 
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(Risk Adjusted Return on Capital，RAROC ); 经 济 资本 法 。 

。 国资 委 《 中 央企 业 全 面 风险 管 理 》 附 录 “ 风 险 管理 常用 技术 方法 
简介 ”介绍 了 以 下 几 种 方法 : 风险 坐标 图 、 和 蒙特 卡 罗 方 法 、 关 键 
风险 指标 管理 和 压力 测试 等 。 

e 企业 根据 自身 实际 选取 适合 自己 的 方法 ， 确 定 险 当 的 标准 来 分 析 

风险 。 例 如 ， 前 几 年 石油 企业 发 生 并 漏 事故 ， 该 风险 对 于 安全 、 

环境 、 企 业 声 誉 、 财 务 、 法 律 等 方面 都 有 一 定 的 影响 ， 这 就 需要 

从 中 选择 一 个 影响 最 为 严重 的 方面 ， 如 安全 标准 。 








(3) 风险 重要 性 水 平 的 判断 确定 关键 风险 ) 

按 风险 值 (= 风险 可 能 性 分 值 x 风险 影响 分 值 ) 对 所 识别 的 风险 进行 排 
序 ， 得 到 公司 风险 划分 为 高 、 中 、 低 、 较 低 四 个 风险 领域 ， 用 风险 热力 图 
表示 。 图 2-6 是 一 个 风险 热力 图 的 例子 ,也 叫 风险 地 图 ,或 风险 共同 语言 。 
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3 
确定 
(5) 
说 明 
极 可 能 A 一 人 力 资源 风险 
(4) B 一 财务 风险 
可 C 一 市 场 风险 
能 本 D 一 环保 风险 
0 E 一 散 诈 风险 
F 一 法 律 风险 
低 G 一 声誉 风险 
(2) 
极 低 
J (1) 
可 以 忽略 轻微 中 等 重大 灾难 
(1) (2) (3) (4) (5) 
4 影响 程度 pe 
图 2-6 风险 热力 图 
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根据 图 2-6 所 示 的 风险 热力 图 ， 确 定 风险 的 重要 性 水 平 ， 以 决定 投入 
的 关注 程度 或 实施 风险 应 对 的 力度 和 时 间 。 对 于 重要 性 水 平 为 低 和 较 低 的 
风险 ， 由 于 其 发 生 的 可 能 性 和 影响 程度 均 较 小 ， 如 财务 风险 (B ) 和 声誉 
风险 (G )， 公 司 可 以 忽略 此 类 风险 而 不 予 关 注 。 对 于 重要 性 水 平 为 中 的 风 
险 ， 如 人 力 资源 风险 ( A ) 和 法 律 风险 (F )， 公 司 将 此 类 风险 确定 为 一 般 
风险 并 给 予 一 般 关 注 。 对 于 重要 性 水 平 为 高 的 风险 ， 公 司 将 此 类 风险 确定 
为 关键 风险 并 给 予 重点 关注 ， 如 市 场 风险 (C )、 环 保 风 险 (D ) 和 欺诈 风 
险 (E ) 就 是 关键 风险 。 一般 风险 和 关键 风险 的 划分 是 公司 确定 风险 应 对 策 
略 和 制定 控制 措施 的 一 个 重要 依据 。 


4. 风险 应 对 


(1) 风险 应 对 方案 

风险 应 对 是 指 选择 和 运用 具体 管理 措施 对 风险 进行 管理 的 过 程 ， 主 要 
是 在 风险 识别 和 风险 分 析 完 成 后 ， 公 司 确定 如 何 应 对 风险 ， 并 将 方案 付 诸 
实施 。 风 险 应 对 的 目的 是 将 剩余 风险 控制 在 风险 承受 度 以 内 。 风 险 管理 的 
最 终 目 的 是 利用 公司 现 有 的 资源 对 公司 所 面临 的 风险 ， 分 不 同情 况 采 取 管 
理 措施 进行 应 对 。 

风险 应 对 策略 一 般 包括 风险 规避 、 风 险 降 低 、 风 险 分 担 和 风险 承受 四 
种 ， 表 2-9 是 对 四 种 风险 应 对 策略 的 分 析 。 


表 2-9 风险 应 对 方案 分 析 有 
| ”适应 特征 | 方法 举例 
该 风险 超出 风险 承受 | 放弃 或 不 接受 暗含 该 风险 的 新 
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续 表 
方法 举例 
风险 分 散 管理 原则 ( 如 分 散 资 
现 企业 
采取 适当 的 | 为 实现 企业 战略 而 不 | 产 的 类 别 )， 隔 离 控 制 原则 全 
可 摆脱 的 固有 风险 ;对 风 
控制 措施 降低 | 的 损失 已 色 丰 夺 浊 各 ,| 方位 管理 控制 ; 实施 特定 风险 的 
.控制 ”为 碱 少 风险 的 主 | 特定 控制 程度 ; 蔬 算 出 可 能 的 损 
失 额 度 , 计划 好 自 筹资 金 的 对 冲 
方式 ; 制定 风险 应 对 计划 


保险 合约 〈 通 用 合约 ， 量 身 度 



















其 他 签订 合约 的 专业 方法 
在 风险 承受 度 之 内 ;为 
不 采取 控制 | 实现 战略 而 不 可 摆脱 的 
风险 承受 | 措施 降低 风险 | 固有 风险 ; 风险 稳定 , 不 
或 者 减轻 损失 | 会 再 加 大 ; 对 承受 风险 损 


预算 出 可 能 的 损失 额度 , 用 额 
外 预 留 资金 或 其 他 风险 融资 方 
式 对 冲 ; 集团 内 调拨 资金 平衡 总 
风险 ; 必须 制定 风险 应 对 计划 


失 已 经 有 所 准备 


(2) 确定 风险 应 对 方案 考虑 的 主要 因素 

QD 风险 应 对 方案 是 否 符合 成 本 效益 原则 。 风 险 规避 与 成 本 支出 相 
比较 。 

@ 风险 应 对 方案 中 可 能 的 机 遇 与 相关 风险 的 比较 。 机 遇 的 收益 与 风险 
的 损失 相 比 较 。 

@@ 考虑 多 种 风险 应 对 方案 的 组 合 。 从 比较 高 的 层面 与 高 度 , 以 及 整个 
企业 的 角度 去 分 析 风 险 ， 考 虑 风险 组 合 应 对 ， 发 挥 协同 效应 。 

@ 慎重 考虑 那些 发 生 可 能 性 较 小 但 却 很 严重 的 风险 ， 如 中 国 5 : 12 
地 震 。 
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考 4 相关 链接 





风险 与 机 遇 

。 风险 管理 的 目的 不 是 消灭 风险 ， 而 是 管理 风险 ， 消 灭 凤 险 也 就 等 
于 消灭 了 机 遇 。 

e 就 如 时 下 的 全 球 金融 危机 ,“ 危 ”虽然 意味 着 危险 ， 但 是 “机 ” 却 
意味 着 机 遇 。 如 果 危 机 是 百年 一 遇 ， 那 么 机 遇 也 是 百年 一 遇 。 纵 


观 全 球 ， 每 次 经 济 危 机 之 后 ， 都 会 造就 新 的 高 速 增长 和 新 的 技术 
领域 。 所 谓 大 浪 淘 沙 ， 凤 凰 涅 架 。 





是 
D] 


A 
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合 规范 转 


做 事情 ， 先 要 确定 做 什么 。 范 围 界定 是 《内控 规范 》 合 规 项 目的 最 重 
要 环节 之 一 。 在 此 环节 里 ,必须 明确 重要 会 计 科 目 、 披 圳 事项， 业务 流程 
和 子 流程 及 其 使 用 关键 信息 系统 ， 以 及 应 该 纳入 范围 的 组 织 单位 。 

财政 部 企业 内 部 控制 标准 委员 会 《企业 内 控 规范 起 草 说 明 》 认 为 ， 根 
据 多 数 企 业 的 意见 ， 借 鉴 国际 有 关 做 法 ,提出 对 有 义务 对 外 提供 财务 报告 
的 企业 (上 市 公司 ), 至 少 须 确保 财务 报告 的 真实 可 靠 , 并 着 重 就 影响 财务 
报告 真实 可 靠 的 重要 业务 与 事项 进行 了 规范 ， 引 导 企 业 建立 健全 以 财务 报 
告 内 部 控制 为 核心 的 内 部 控制 机 制 。 基 于 以 下 考虑 : 

第 一 ,企业 的 经 营 管理 活动 ， 归 根 结 底 要 通过 财务 报告 来 反映 ， 抓 住 
了 财务 报告 内 部 控制 这 条 主线 ， 在 一 定 程 度 上 也 抓 作 了 企业 经 营 管理 与 内 
部 控制 的 重心 和 主体 。 

第 二 ， 保 证 财务 报告 真实 可 靠 ， 是 企业 的 法 定 责任 ， 是 维护 社会 公众 
利益 的 基础 环节 ， 强 化 财务 报告 内 部 控制 机 制 建设 ， 是 提升 企业 市 场 形象 
与 诚信 和 度 、 维 护 社会 公众 利益 的 基本 要 求 。 

第 三 ， 从 政府 监管 和 资本 市 场 监管 的 角度 看 ， 即 使 是 当今 世界 最 发 达 
的 国家 ,也 将 财务 报告 内 部 控制 作为 企业 管理 层 内 部 控制 自我 评估 和 注册 
会 计 师 评价 的 主体 ， 因 为 满足 了 财务 报告 内 部 控制 的 要 求 ， 能 够 合理 保证 
企业 财务 会 计 信 息 披露 的 真实 公 人 多， 能够 有 效 维护 社会 公众 利益 、 促 进 资 
本 市 场 健康 稳定 发 展 。 

据 了 解 ， 将 取代 《企业 内 部 控制 鉴证 指引 》 的 《企业 内 部 控制 审计 指 
引 光 参考 附录 B ) 将 明确 企业 内 部 控制 审计 的 范围 , 该 指引 第 二 条 规定 “本 
指引 中 内 部 控制 审计 的 范围 ， 主 要 是 企业 为 了 合理 保证 财务 报告 及 相关 信 
息 真 实 完整 、 资 产 安 全 而 设计 和 执行 的 内 部 控制 。 用 以 合理 保证 资产 安全 
的 内 部 控制 ， 可 能 涉及 合理 保证 经 营 效率 和 效果 、 经 营 管理 合法 合 规 的 内 
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部 控制 。” 
基于 实践 及 实际 操作 性 ， 实 际 上 就 是 与 财务 报告 相关 的 内 部 控制 ， 当 
然 这 其 中 肯定 会 与 其 他 几 大 目标 产生 交叉 。 


3.1 自 上 而 下 基于 风险 的 方法 


证 券 分 析 师 经 常 使 用 一 种 称 为 “ 自 上 而 下 ”( Top down ) 的 模式 来 分 析 
所 追踪 的 股票 : 从 评估 整体 经 济 人 手 ， 然 后 对 对 象 公司 所 处 行业 情况 进行 
分 析 ， 最 后 切 和 企业 分 析 ; 而 企业 分 析 ， 除 了 最 常见 的 财务 数据 分 析 ， 还 
涵盖 了 对 公司 战略 、 企 业 生命 周期 、 产 品 与 市 场 、 营 销 策略 、 销 售 渠道 、 
主要 客户 、 上 游 供应 商 与 原料 、 竞 争 环境 等 的 研究 。 


案 例 
自 上 而 下 的 风险 导向 方法 

。 Rubbermaid 曾 是 美国 全 球 领 先 的 塑料 制品 生产 商 ， 产 品 包括 储藏 锥 
和 垃圾 箱 等 。 在 20 世纪 90 年 代 中 期 ， 该 公司 连续 数 年 的 年 均 增 长 
率 超过 14%， 且 连续 三 年 被 《财富 》 杂 上 志 评 选 为 “美国 最 受 欢迎 的 
企业 ”。 

。 对 Rubbermaid 进行 战略 分 析 后 发 现 , 该 公司 对 原油 价格 的 波动 非常 
敏感 ， 因 为 塑料 制品 的 一 个 重要 原料 是 树脂 ， 而 树脂 是 通过 原油 炼 
制 的 。 但 Rubbermaid 没有 采取 任何 控制 原材料 风险 的 措施 : 既 没有 
集中 采购 ， 也 没有 与 供应 商 签订 长 期 购买 合同 。 而 实际 上 ， 该 公司 
是 世界 上 最 大 的 树脂 消费 商 之 一 ， 以 其 采购 规模 ， 完 全 可 以 通过 谈 
判 获得 很 优惠 的 价格 。 但 该 公司 没有 利用 集中 采购 所 能 赋予 它 的 定 
价 能 力 ， 而 是 在 全 球 12 个 地 方 分 别 采购 。 当 原油 价格 上 涨 时 ， 它 只 


能 把 增加 的 成 本 转嫁 给 客户 。 
该 公司 也 未 能 有 效 管理 与 最 大 客户 沃尔玛 的 关系 。 沃 尔 玛 拒绝 接受 
价格 上 涨 ， 并 把 Rubbermaid 的 产品 放 在 靠 里 的 货架 上 ,而 将 
Rubbermaid 的 低 价 竞争 对 手 Sterlite 的 产品 置 于 位 置 最 好 的 货架 上 。 
该 公司 另 一 个 战略 方面 的 问题 是 制定 的 增长 目标 太 高 ， 试 图 维持 
14% 的 年 增长 率 。 实 现 目标 的 困难 给 管理 层 形成 巨大 压力 ， 而 这 一 
点 对 于 内 部 控制 环境 十 分 不 利 。 同时， 它 在 欧洲 的 扩张 也 语 遇 挫折 。 
基于 上 述 情况 ， 我 们 可 做 出 合理 的 财务 业绩 预期 : 销售 增长 放 缓 、 
销售 毛利 收 罕 、 利 润 降低 、 研 发 费用 需要 增加 等 。 假 如 出 现 与 预期 
不 一 致 的 情形 ， 如 这 一 年 的 销售 毛利 反而 比 去 年 增加 等 ， 我 们 就 要 
打 个 问号 。 同 时 ， 我 们 估计 它 会 通过 降低 产品 质量 来 降低 成 本 ， 以 
达到 业绩 目标 ， 这 就 需要 对 成 本 结构 进行 分 析 ， 看 它 有 没有 改变 产 
品 配方 来 压缩 成 本 ; 如 果 它 产量 过 大 而 销售 又 不 利 ， 它 的 库存 应 该 
会 增加 ; 还 有 资本 结构 方面 ， 它 在 欧洲 投资 失败 ， 这 些 资本 是 否 作 
为 坏账 冲销 挤 …… 通过 这 样 一 步 步 的 分 析 评 估 ， 可 以 判断 出 该 公司 
风险 较 高 的 领域 。 
自 上 而 下 风险 导向 方法 就 是 分 析 研 究 企 业 在 哪些 方面 的 风险 没有 防 
范 控 制 好 ， 它 对 企业 财务 报表 可 能 有 什么 样 的 影响 ， 然 后 再 通过 相 
互 印证 的 证 据 来 判断 报表 是 否 是 真实 和 恰当 的 。 
采用 自 上 而 下 风险 导向 方法 ,将 风险 评估 与 范围 界定 结合 起 来 ， 确 定 
《内 控 规范 》 实 施 范 围 ， 是 为 最 有 效率 的 方法 ， 如 图 3-1 所 示 。 

公司 目标 及 风险 评估 请 参考 本 书 第 2 章 。 公 司 层面 控制 (Entity Level 
Control，ELC )、IT 一 般 控制 (IT General Control，ITGC ) 和 I 应 用 控制 
(ITApplication Control，ITAC ) 将 在 后 面 的 章节 详细 说 明 。 
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确定 合并 财务 报表 层次 和 科目 层次 的 重要 性 水 
平 ， 识 别 重要 会 计 科 目 和 披露 事项 







”业务 流程 与 组 织 单位 对 应 
”确定 重要 组 织 单位 





业务 流程 目标 
Es 
财务 报表 认定 


由 


S 
风险 控制 矩阵 
@ 根据 业务 和 信息 处 理 目 标 , 识别 风险 , 评估 控制 


@@ 评估 控制 是 否 达 到 财务 报表 认定 要 求 








图 3-1 基于 财务 报告 的 自 上 而 下 风险 导向 方法 





一 一 一 一 一 一 @@@@ 合 规范 转 


本 章 概括 了 管理 层 确定 重要 会 计 科目 、 披 圳 事项、 业务 流程 和 关键 信 
奶 系统 及 应 评估 的 组 织 单位 的 方法 。 对 上 述 事项 的 界定 与 《内 控 规范 》 的 
5 个 组 成 要 素 是 相关 联 的 ， 这 5 个 组 成 要 素 是 : 控制 环境 、 风 险 评估 、 控 
制 活动 、 信 息 与 沟通 、 监 控 。 


i 


3.2.1 确定 合并 财务 报表 层次 和 科目 层次 的 重要 性 水 平 ， 识 别 重 
要 会 计 科 目 和 披露 事项 





重要 会 计 科目 和 披露 事项 从 两 个 层面 予以 确定 : 一 是 合并 财务 报表 层 
面 ; 二 是 单个 会 计 科目 或 披露 事项 层面 ( 如 存货 可 以 包括 产 成 品 、 在 产品 
和 原材料 ， 收 入 可 以 包括 产品 收入 和 服务 收入 )。 


1. 重要 性 水 平定 义 

所 谓 重要 性 是 指 一 项 漏 报 或 误 报 的 金额 (单个 项 目 或 多 项 累计 ), 在 其 
所 处 环境 的 影响 下 ， 使 得 一 个 依赖 该 会 计 报表 的 理性 人 员 的 判断 会 因 该 漏 
报 或 误 报 改变 或 受到 影响 。 

“重要 ”一 词 不 仅 局 限于 定量 的 重要 性 。 某 些 科目 可 能 从 定性 的 角度 或 
因 被 投资 者 视 为 重要 的 业绩 衡量 指标 而 被 看 做 重要 的 会 计 科目 。 


2. 重要 性 水 平 的 分 类 

《1) 定量 标准 

分 为 财务 报表 层次 及 会 计 科目 层次 的 重要 性 水 平 。 一 般 以 税 前 利润 的 
5% 作 为 报表 层次 的 重要 性 水 平 , 会 计 科目 超过 报表 层次 重要 性 水 平 的 50% 


ne 





( 即 税 前 利润 的 2.5% )， 一 般 情 况 下 视 为 重要 会 计 科 目 。 

《2) 定性 标准 

在 确认 重要 会 计 科 目 时 ， 先 按 定量 标准 进行 确认 ， 凡 是 会 计 科 目的 当 
期 余额 或 发 生 额 大 于 或 等 于 定量 标准 的 ， 直 接 确认 为 重要 的 会 计 科 目 ， 对 
于 其 他 的 会 计 科目 ， 我 们 还 必须 从 定性 的 角度 ， 确 认 是 否 属于 重要 会 计 科 

常 考虑 的 定性 因素 包括 : 

5 科目 由 复杂 的 成 分 组 成 。 例 如 , 收入 项 目 包含 多 个 会 计 科目 或 明细 
科目 ， 它 们 产生 于 各 种 不 同 的 交易 类 别 ， 如 产品 收入 和 服务 收入 等 ， 因 此 
将 收入 项 目 确认 为 重要 的 会 计 科目 。 

久 会 计 科 目 核 算 的 业务 存在 较 大 的 错误 和 舞 刺 的 可 能 性 。 例 如 , 现金 
科目 的 期 末 余额 一 般 不 大 ， 不 会 超过 上 述 定量 标准 ， 但 由 于 现金 存在 收 支 
发 生 错 误 、 被 次 或 舞 紫 的 可 能 性 ,管理 风险 较 大 ， 因 此 从 定性 的 角度 将 现 
金 科目 确认 为 重要 会 计 科目 。 

3) 会 计 科目 核算 的 业务 包含 的 交易 数量 复杂 程度 和 类 似 程度 。 例 如 ， 
销售 过 程 中 的 产品 入 库 、 出 库 , 由 于 频繁 发 生 , 发 生 错误 的 可 能 性 比较 大 ， 
因此 将 存货 项 目 所 包含 的 会 计 科目 确认 为 重要 的 会 计 科目 。 

(@ 会 计 科 目 相关 的 交易 事项 本 身 具 有 较 强 的 经 营 风险 , 可 能 存在 重大 
的 财产 损失 。 例 如 ， 短 期 投资 存在 因为 决策 失误 、 证 券 市 场 波动 而 产生 重 
大 损失 的 可 能 性 ， 因 此 将 短期 投资 确认 为 重要 会 计 科 目 。 

@@) 会 计 科目 核算 的 内 容 存在 较 强 的 会 计 估计 和 人 为 判断 , 会 计 科目 确 
认 记 录 金 额 具 有 一 定 的 不 确定 性 ,将 此 类 会 计 科 目 确认 为 重要 的 会 计 科目 。 
例如 ， 预 提 费 用 核算 的 内 容 包括 预 提 的 利息 、 尚 未 支付 的 保险 费 及 其 他 的 
生产 经 营 费 用 ， 预 提 的 金额 需要 一 定 的 估计 和 判断 ， 存 在 预 提 金额 不 准确 
的 可 能 性 ， 因 此 将 预 提 费用 确认 为 重要 会 计 科目 。 
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@ 存在 潜在 的 损失 和 支付 风险 ( 如 与 或 有 负债 相关 的 会 计 科目 ) 例 
如 ， 诉 讼 损失 、 未 了 结 重大 事故 所 产生 的 预计 负债 ， 记 录 人 金额 需要 较 强 的 
专业 判断 和 会 计 估计 ， 并 且 存 在 潜在 的 损失 风险 和 支付 风险 ， 因 此 将 此 类 
项 目 确 认为 重要 的 会 计 科目 。 

QD 相关 账 务 处 理 的 确认 、 金 额 计算 较 复 杂 。 例 如， 各 项 减 值 准 备 的 测 
算 ， 需 要 较 强 的 专业 判断 ， 并 具有 较 高 的 专业 测算 水 平 ， 因 此 将 各 项 减 值 
准备 作为 重要 会 计 科 目 。 

@ 本 年 度 新 发 生 的 交易 或 行为 所 对 应 的 会 计 科目 。 例 如 , 当年 新 发 生 
的 筹建 期 间 的 开办 费 、 租 人 的 固定 资产 改良 工程 支出 ， 以 及 捧 销 期 限 在 _- 
年 以 上 的 固定 资产 修理 支出 ， 相 对 应 的 会 计 科 目 递 延 资产 应 确认 为 重要 的 
会 计 科目 。 

@@ 会 计 科 目 核算 内 容 是 否 包 含 大 量 的 关联 交易 。 例 如 , 销售 存在 着 大 
量 的 关联 交易 ， 因 此 收入 确认 为 重要 会 计 科目 。 

(3) 附属 科目 的 重要 性 水 平 

如 果 根 据 上 述 定量 和 定性 的 因素 确认 某 项 会 计 科目 是 重要 的 ， 那么 其 
附属 科目 也 是 重要 的 。 

例如 ， 辕 定 资产 是 重要 会 计 科目 ， 其 附属 的 累计 折旧 、 固 定 资产 减 值 
准备 等 也 应 确认 为 重要 会 计 科目 。 

(4) 重要 披露 事项 的 确认 

财务 报告 中 的 每 项 附注 都 是 报告 使 用 者 关心 的 事项 ， 所 以 将 财务 报告 

会 计 报表 附注 ， 全 部 确认 为 重要 的 披露 事项 。 在 确定 重要 披 锯 事项 时 ， 
应 将 每 项 附注 作为 一 个 整体 确认 为 重要 披露 事项 ， 而 不 是 针对 附注 中 的 个 
别 披露 事项 。 
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3.2.2 ”确定 重要 业务 流程 及 关键 信息 系统 





重要 业务 流程 是 指 影响 到 重要 会 计 科 目的 业务 流程 ， 即 与 重要 会 计 科 
目 直 接 相 关 的 流程 。 关 键 信息 系统 是 指 影响 到 重要 会 计 科 目的 信息 系统 ， 
即 与 重要 会 计 科 目 直接 相关 的 流程 。 将 上 一 步 识别 的 重要 会 计 科目 /披露 和 
生成 这 些 重要 会 计 科目 /披露 的 业务 流程 和 关键 信息 系统 联系 起 来 ,进行 配 
对 ， 如 表 3-1 和 表 3-2 所 示 。 








表 3-1 重要 会 计 科目 /披露 与 业务 流程 对 应 
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货币 资金 
应 收 账 款 














供应 链 管 理 系 统 
(SCM) 




















这 有 助 于 确保 所 有 重要 的 会 计 科 目 /披露 都 能 与 业务 流程 对 应 ,以 及 确 
保 所 有 的 重要 业务 流程 和 关键 信息 系统 均 被 识别 。 流 程 根据 公司 业务 流程 
实际 ， 同 时 可 以 参考 财政 部 《企业 内 部 控制 应 用 指引 》 确 定 。 

重要 的 业务 流程 /循环 及 业务 子 流程 根据 机 构 的 不 同 也 有 所 区 分 。 比 
如 ， 研 发 或 广告 宣传 费 对 于 一 家 消费 者 产品 生产 公司 来 说 是 一 笔 巨 大 的 开 
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支 ， 但 对 于 一 家 金融 服务 公司 就 不 会 了 。 


3.2.3 ”人 确定 重要 组 织 单位 





如 果 业 务 流程 和 子 流程 在 多 家 组 织 单位 进行 ( 如 控股 公司 、 不 同 地 域 
的 下 属 公司 ) 应 该 确定 哪些 组 织 单位 纳入 范围 呢 ? 应 考虑 下 列 几 大 要 素 . 

。 组织 单位 的 相关 财务 状况 和 经 营 状况 。 

。 组 织 单位 出 现 重大 错 报 的 风险 。 

。 选 定 的 组 织 单位 的 业务 流程 和 内 部 控制 程序 在 集中 处 理 或 共享 服务 

环境 中 所 占 的 比例 。 

重要 组 织 单位 是 指 在 数量 或 性 质 上 达到 一 定 标准 ， 需 要 纳入 《内 控 规 
范 》 合 规范 围 的 组 织 机 构 或 业务 单位 。 确 定 重要 组 织 单位 的 步骤 如 图 3.2 
所 示 。 


1. 定量 标准 

如 果 至 少 满足 下 列 合并 财务 报表 指标 之 一 的 组 织 单位 ， 纳 入 《内 控 规 
范 》 合 规范 围 : 

。 大 于 年 度 收 入 的 5%。 

。 大 于 税 前 利润 的 5%。 

。 大 于 总 资产 的 5%。 

。 大 于 所 有 者 权益 的 5%( 如 可 行 )。 

这 些 指标 可 根据 具体 的 组 织 结构 做 相应 调整 。 比 如 ， 如 果 一 家 公司 采 
用 集中 化 的 经 营 模式 ， 拥 有 多 家 规模 类 似 的 业务 单位 ， 那 么 这 家 公司 可 用 
来 确定 本 身 重 要 的 组 织 单位 的 比例 则 应 降低 至 1% 或 2%。 
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纳入 《内 控 规 范 》 合 规 
范围 (全 范围 ) 














是 否 达到 定量 标准 


评估 和 测试 某 些 特 殊 风 
险 的 控制 (有限 范围 ) 











是 否 存 在 特别 和 重要 的 
风险 









否 存在 与 其 他 组 织 音 
7 合并 考虑 仍 不 具备 重 
要 组 织 单位 的 条 人 


是 
ay 


在 







该 组 织 单位 不 纳入 《内 控 
规范 》 合 规范 围 


























评估 记录 , 并 测试 合并 考 
虑 组 织 单位 的 公司 层面 
控制 (有 限 范围 ) 







公司 是 否 记 录 其 对 组 织 
单位 所 实施 的 内 部 控制 
程序 













应 对 单个 组 织 
单位 的 内 控 程 序 进行 测 
试 (有 限 范围 ) 


图 3-2 ”确定 重要 组 织 单位 的 步骤 


定量 指标 应 以 公布 的 合并 财务 报表 为 出 发 点 。 很 多 公司 使 用 了 最 近 财 
政 年 度 ( 如 截至 2009 年 12 月 31 日 的 合并 财务 报表 ) 或 季度 ( 2010 年 第 2 
季度 ) 的 财务 信息 ， 但 是 ， 在 分 析 过 程 中 采用 的 财务 信息 可 能 随 具体 财 务 
信息 的 详细 程度 和 数据 的 可 靠 程度 有 所 变化 ( 如 年 度 , 季度 和 月 财务 信息 )。 
最 后 , 应 使 用 其 认为 最 能 代表 公司 财政 年 度 财务 状况 的 财务 信息 进行 评 佑 。 
信息 可 能 来 自 : 
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。 公司 于 财政 年 度 末 按照 各 组 织 单位 列 示 的 年 度 预算 。 
。 最 近 财政 年 度 的 财务 信息 。 
。 最 近 季 度数 据 ( 资产 负债 表 ) 和 最 近 财 政 年 度 的 数据 ( 年 度 损益 表 )。 
比如 , 一 家 公司 以 2010 年 12 月 31 日 为 财政 年 度 结束 日 , 则 可 以 使 
用 截至 2010 年 6 月 30 日 的 资产 负债 表 及 截至 2009 年 12 月 31 日 的 
损益 表 数 据 。 
如 果 选 定 为 信息 来 源 的 财务 数据 受到 异常 活动 或 重要 交易 的 影响 很 
大 ， 必 须 对 这 些 数据 进行 修改 ， 使 这 些 数据 不 反映 这 些 活 动 和 交易 。 还 应 
对 任何 预算 或 上 一 年 度 的 数据 进行 更 新 ， 反 映 预计 未 来 出 现 的 重大 变动 。 


2. 定性 标准 

在 确认 重要 组 织 单位 时 ， 先 按 定量 标准 进行 确认 ， 凡 是 达到 定量 标准 
的 ， 直 接纳 入 《内 控 规 范 》 合 规范 围 (全 范围 )， 对 于 其 他 的 组 织 单位 ， 还 
必须 从 定性 的 角度 确认 是 否 属于 重要 组 织 单位 。 

尽管 某 些 组 织 单位 对 合并 财务 状况 或 经 营 成 果 的 财务 重要 性 可 能 不 
大 ， 但 这 些 组 织 单位 负责 的 某 些 领域 仍 有 可 能 存在 导致 重大 错 报 的 风险 。 
对 于 那些 存在 可 导致 重大 错 报 的 特殊 风险 的 组 织 单位 ( 如 负责 外 汇 交 易 或 
资金 运作 的 组 织 单位 ), 应 记录 和 测试 可 降低 这 些 特殊 风险 的 内 部 控制 , 并 
记录 将 某 因素 划分 为 特殊 风险 的 原因 。 

表明 某 组 织 单位 在 某 领域 内 的 风险 有 所 增加 的 因素 包括 : 

。 管理 层 的 风险 评估 (参考 本 书 第 2 章 内 容 )。 

。 内 部 或 外 部 审计 发 现 和 建议 。 

。 重要 、 异 常 或 非 重复 性 交易 。 

。 单个 会 计 科目 余额 巨大 。 
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so 
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合 规 实务 指南 


。 管理 层 的 变动 。 

如 果 特 殊 风 险 所 影响 的 会 计 科 目 是 重要 会 计 科 目 ， 那 么 这 个 会 计 科目 
在 这 个 组 织 单位 对 应 的 业务 流程 纳 人 《内 控 规 范 》 合 规范 围 。 举 例如 表 3-3 
所 示 © 


表 3-3 重要 会 计 科目 、 组 织 单位 与 流程 的 对 应 
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特殊 风险 所 影响 的 会 计 科 目 “ 货 币 资金 ”是 重要 会 计 科 目 ， 那 么 组 织 
单位 A 和 单位 D 中 的 销售 、 采 购 、 资 金 和 财务 报告 流程 纳 人 《内 控 规 范 》 
合 规 范围 。 

无 须 对 那些 本 身 或 与 其 他 组 织 单位 合并 考虑 都 不 会 对 公司 的 财务 报表 
造成 重大 错 报 的 组 织 单位 执行 进一步 的 程序 。 一 般 来 说 ， 这 些 组 织 单位 加 
总 起 来 通常 不 会 超过 用 来 确定 重要 组 织 单位 所 定量 指标 ， 也 不 会 存在 任何 
特殊 的 定性 风险 。 

如 果 几 个 组 织 单位 合并 起 来 考虑 被 认为 是 重要 的 ， 应 考虑 下 列 因 素 : 

人 中 如 果 公 司 层面 的 内 部 控制 得 到 了 有 效 的 设计 和 执行 , 应 记录 和 测试 
公司 层面 的 内 部 控制 情况 以 获得 保证 。 此 外 ， 还 可 以 确定 是 否 需要 其 他 证 
据 ， 如 穿行 测试 、 自 身 评估 、 内 审 的 审核 或 监管 控制 等 相关 证 据 ， 从 而 得 
出 这 些 组 织 单位 的 控制 活动 的 设计 和 运行 是 有 效 的 结论 。 

@ 如 果 公 司 层面 的 内 部 控制 没有 得 到 有 效 的 设计 和 执行 , 必须 对 这 些 
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组 织 单位 的 控制 活动 进行 测试 ， 以 获得 充分 的 保证 ， 即 这 些 内 部 控制 得 到 
了 有 效 的 设计 和 执行 。 

如 果 公司 在 这 些 组 织 单位 未 设置 公司 层面 的 内 部 控制 ， 或 者 该 内 部 控 
制程 序 不 可 靠 ， 管 理 层 则 应 确定 在 每 个 组 织 单位 需要 执行 的 程序 的 性 质 、 
时 间 安 排 和 范围 , 以 获得 必要 的 保证 。( 公司 层面 的 内 部 控制 将 在 后 面 章节 
具体 论述 。) 

在 评估 哪些 组 织 单位 应 进行 公司 层面 的 控制 的 测试 和 应 测试 哪些 内 部 
控制 程序 时 ， 该 准则 指出 应 考虑 下 列 几 个 要 素 : 

。 各 组 织 单位 相对 的 财务 重要 性 。 

。 由 各 组 织 单位 引起 的 重大 错 报 风险 。 

。 在 不 同 的 组 织 单位 中 业务 运营 和 对 于 财务 报告 的 内 部 控制 的 相似 

之 处 。 

。 业务 流程 和 财务 报告 的 集中 化 程度 。 

。 控制 环境 的 有 效 性 ， 尤 其 是 管理 层 对 于 向 他 人 授权 的 直接 控制 和 有 

效 监督 各 组 织 单位 的 活动 的 能 力 。 

。 在 各 组 织 单位 进行 的 交易 的 性 质 和 数量 及 相关 资产 。 

。 组 织 单位 出 现 重 大 未 确认 负债 的 潜在 可 能 性 ， 以 及 组 织 单位 以 公司 

名 义 发 生 负 债 的 程度 。 

。 管理 层 的 风险 评估 程序 和 将 某 组 织 单位 排除 在 财务 报告 的 内 部 控制 

评估 范围 之 外 的 分 析 。 


二 4 相关 链接 





出 售 、 并 购 对 合 规 范围 的 影响 
。 《内 控 规 范 》 及 其 配套 指引 没有 明确 提 及 出 售 、 并 购 对 《 内控 规 


范 》 实 施 范围 的 影响 。 


| 
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一 般 认为 ， 对 于 在 年 度 结束 前 进行 的 出 售 ， 如 一 家 上 市 公司 有 意 
于 第 二 季度 末 出 售 其 一 家 大 型 子 公司 ， 管 理 层 可 以 不 对 该 子 公司 
的 内 部 控制 程序 进行 评估 ， 除 非 该 出 售 交易 未 在 计划 的 期 间 内 
完成 。 

至 于 并 购 对 《内控 规范 》 合 规范 围 的 影响 ， 目 前 还 没有 明确 详细 
的 指引 。 

美国 《 萨 班 斯 法 案 》 关 于 并 购 对 内 部 控制 范围 的 影响 ， 美国 证 券 
交易 委员 会 指出 ， 如 果 不 可 能 在 收购 结束 日 与 管理 层 内 部 控制 评 
估 日 之 间 对 被 收购 业务 进行 内 部 控制 评估 ， 那 么 管理 层 可 以 不 将 
新 收购 的 机 构 纳 入 其 财务 报告 内 部 控制 评估 中 。 但 是 免除 评估 的 
期 间 不 应 超过 收购 日 后 一 年 。 如 果 新 收购 的 机 构 未 被 纳入 评估 ， 
那么 管理 层 必须 在 其 报告 中 披露 该 项 事实 。 审 计 师 也 可 采用 同样 
做 法 ， 同 样 须 在 审计 报告 中 说 明 该 机 构 未 被 纳入 评估 范围 。 








3.2.4 


识别 重要 会 计 科 目 和 披露 事项 的 相关 财务 报表 认定 





实施 《内 控 规 范 》 就 是 明确 对 公司 外 部 财务 报告 中 重要 会 计 科 目 和 披 
露 事项 进行 相关 财务 报表 认定 的 控制 程序 。 为 达到 这 一 目标 ， 管 理 层 应 从 
合并 财务 报表 和 附注 开始 ( 见 图 3-1 )， 执 行 上 述 每 一 步骤 ， 并 最 终 明确 对 
应 于 财务 报表 认定 相关 的 控制 活动 和 程序 ， 当 然 也 是 基于 业务 流程 的 目标 
( 主要 是 财务 报告 目标 ) 及 信息 处 理 目标 ( 主要 是 与 财务 报告 相关 的 目标 )， 
如 图 3-3 所 示 。 

对 于 每 项 会 计 科 目 和 披露 事项 来 说 ， 应 确定 和 记录 相关 的 财务 报表 认 
定 ， 并 测试 与 这 些 财务 报表 认定 有 关 的 内 部 控制 。 


ep 





合 规范 转 


业务 流程 及 信息 处 理 目标 


收入 (合并 财务 报表 中 列 示 科目 ) 


产品 收入 业务 流程 





3 
销售 订单 录入 


所 有 销售 项 目 都 应 开具 发 票 并 录 
入 应 收 账 款 明细 账 ( 完整 性 认定 ) 


应 收 账 款 人 员 每 周 核 对 销售 额 与 发 票 记录 
及 应 收 账 款 明细 账 记录 是 否 一 致 。 核 对 完成 
后 ,主管 对 核对 结果 进行 审核 





图 3-3 ”业务 流程 及 其 目标 、 财 务 报表 认定 和 控制 的 关系 
1. 认定 定义 及 分 类 

财务 报表 认定 是 指 管理 层 对 财务 报表 各 组 成 要 素 的 确认 、 计 量 、 列 报 
做 出 的 明确 或 隐 含 的 表达 ， 是 评估 重大 错 报 风险 的 基础 ， 包 括 各 类 交易 、 
账户 余额 、 列 报 认定 。 

1 ) 财务 报表 认定 包括 以 下 几 个 方面 

@ 存在 或 发 生 。 该 认定 确认 公司 的 资产 或 负债 在 财务 报告 截止 日 是 否 
存在 ， 人 上 账 的 交易 在 财务 报告 期 间 是 否 已 经 发 生 。 人 例如， 库存 商 品 应 是 真 
实 存在 和 可 供销 售 的 ; 销售 收入 应 代表 与 客户 进行 了 产品 交易 或 提供 服务 ， 
以 获取 现金 或 其 他 形式 报酬 。 

@ 完整 性 ,该 认定 确认 公司 所 有 应 在 财务 报告 中 记录 的 交易 都 已 按 规 
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定 包 括 在 财务 报告 中 。 例 如 ， 当 期 发 生 的 产品 或 服务 的 采购 都 已 在 财务 报 
告 中 完整 地 记录 ; 当期 所 有 的 销售 收入 和 费用 支出 均 已 全 部 反映 在 财务 报 
告 中 。 

8) 估价 或 分 挫 。 该 认定 确认 公司 的 资产 、 负 债 、 权 益 、 收 入 和 费用 全 
部 已 经 按照 正确 金额 计 人 财务 报告 中 ， 即 准确 性 。 例 如 ， 固 定 资产 应 按 历 
史 成 本 人 账 ， 并 且 在 相关 的 会 计 期 间 内 系统 地 提取 折旧 ; 应 收 账 款 应 按 可 
变现 净值 计算 并 确认 坏账 准备 。 

@ 权利 与 义务 。 该 认定 确认 财务 报告 中 的 资产 是 公司 的 权利 , 负债 是 
公司 的 义务 。 例 如 ， 资 本 化 的 融资 租赁 支出 是 公司 取得 对 租 人 资产 权利 的 
成 本 ， 相 应 的 因 租 赁 产生 的 负债 是 公司 的 义务 。 

(3) 表达 与 披露 。 该 认定 确认 已 在 财务 报告 中 恰当 地 归 类 、 描 述 和 披露 
各 会 计 科目 核算 的 相关 内 容 。 例 如 ， 在 资产 负债 表 中 列 为 长 期 借款 所 涉及 
的 特别 约定 条 款 是 否 描述 恰当 ; 在 利润 表 中 非常 规 项 目的 归 类 和 描述 是 否 
恰当 。 

财务 报表 认定 与 每 项 重要 会 计 科 目的 相关 程度 不 尽 相 同 。 例 如 ， 现 金 
科目 一 般 与 佑 价 的 认定 无 关 ， 但 如 果 现 金 中 包括 外 币 ， 则 与 估价 的 认定 有 
关 ; 然而 ， 现 金 科 目 总 是 与 存在 性 和 完整 性 的 认定 相关 。 此 外 ， 内 部 控制 
部 门 可 以 在 期 末 财 务 报告 流程 中 ,集中 考虑 表达 与 披露 的 认定 。 

2 ) 对 期 末 账 户 余额 运用 的 认定 ( 包括 但 不 限于 资产 负债 表 ) 通常 分 为 
下 列 类 别 

QD 存在 。 记 录 的 资产 、 负 债 和 所 有 者 权益 是 存在 的 。 

@ 权利 和 义务 。 记录 的 资产 由 单位 拥有 或 控制 , 记录 的 负债 是 单位 应 
当 履 行 的 偿还 义务 。 

@ 完整 性 。 所 有 应 当 记录 的 资产 、 负 债 和 所 有 者 权益 均 已 记录 。 

@ 计价 和 分 摊 。 资产 、 负 债 和 所 有 者 权益 以 恰当 的 金额 包括 在 财务 报 
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表 中 ,与 之 相关 的 计价 或 分 摊 调 整 已 恰当 记录 。 

3 ) 对 各 类 交易 和 事项 运用 的 认定 (包括 但 不 限于 利润 表 ) 通常 分 为 下 
列 类 别 

QD 发 生 。 记 录 的 交易 和 事项 已 发 生 ， 且 与 单位 有 关 。 

@ 完整 性 。 所 有 应 当 记 录 的 交易 和 事项 均 已 记录 。 

电 准确 性 。 与 交易 和 事项 有 关 的 金额 及 其 他 数据 已 恰当 记录 。 

@ 截止 。 交 易 和 事项 已 记录 于 正确 的 会 计 期 间 。 

@ 分 类 。 交 易 和 事项 已 记录 于 恰当 的 账户 。 

4 ) 对 列 报 运用 的 认定 (包括 但 不 限于 披露 ) 通常 分 为 下 列 类 别 

QD 发 生 及 权利 和 义务 。 披 露 的 交易 、 事 项 和 其 他 情况 已 发 生 , 且 与 单 
位 有 关 。 

名 完整 性 。 所 有 应 当 包 括 在 财务 报表 中 的 披露 均 已 包括 。 

@@ 分 类 和 可 理解 性 。 财务 信息 已 被 恰当 地 列 报 和 描述 , 且 披 壤 内 容 表 

@ 准确 性 和 计价 。 财 务 信 息 和 其 他 信息 已 公允 披露 ， 量 金额 恰当 。 

以 上 内 容 如 表 3-4 所 示 。 


表 3-4 财务 报表 认定 分 类 
期 末 账 户 余额 相关 各 类 交易 和 事项 相关 
所 有 应 当 记 录 的 交易 












列 报 相关 












所 有 应 当 记录 的 资产 、 所 有 应 当 包 括 在 
2 项 条 
人 负债 和 所 有 者 权益 均 已 ee ett 财务 报表 中 的 披露 
记录 2 均 已 包括 










会 计 期 间 
记录 的 交易 和 事项 已 
记录 的 资产 、 负 债 和 所 | 发 生 ， 且 与 单位 有 关 ， 

有 者 权益 是 存在 的 交易 和 事项 已 记录 于 正 

确 的 会 计 期 间 
















存在 与 
发 生 /真实 
性 (E) 






披露 的 交易 .事项 
和 其 他 情况 已 发 生 














Of 
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续 表 













列 报 相 关 
财务 信息 和 其 他 
信息 已 公允 披露 , 且 
金额 恰当 


_ 认定 \ 合 义 | 。 期 末 账 户 余额 相关 “| 各 类 交易 和 事项 相关 
与 交易 和 事项 有 关 的 


金额 及 其 他 数据 已 恰当 








准 确 性 


不 
(A) 





资产 、 负 债 和 所 有 者 权 








售 价 或 | 益 以 恰当 的 金额 包括 在 
分 内 (V) | 财务 报表 中 , 与 之 相关 的 |。 不 适当 不 适用 
计价 或 分 摊 调 整 已 恰当 
记录 | 
记录 的 资产 由 单位 拥 
权 利 和 | 有 或 控制 ,记录 的 负债 是 | 下, ww 披露 的 交易 .事项 
义务 (0) | 被 检查 单位 应 当 履行 的 与 单位 有 关 











偿还 义务 









财务 信息 已 被 从 
当地 列 报 和 描述 , 且 
披露 内 容 表 述 清楚 


表 达 和 
披露 (P ) 


资产 、 负 债 和 所 有 者 权 
益 已 记录 于 恰当 的 账户 


交易 和 事项 已 记录 于 
恰当 的 账户 












2. 判定 原则 


为 准确 反映 会 计 报 表 认 定 ， 可 以 参考 以 下 原则 。 

Q@ 唯一 性 原则 。 为 准确 认定 , 按照 上 述 认 定 定义 及 分 类 的 内 容 ， 只 选 
定 一 个 最 相关 的 科目 和 一 个 最 相关 的 认定 。 假 如 发 现 一 笔 付 款 的 记 账 凭证 
会 计 分 录 为 借方 应 付 账 款 101 万 元 ， 贷 方 银行 存款 101 万 元 ， 而 后 附 的 银 
行 贷 记 凭证 上 金额 为 110 万 元 ， 同 时 还 发 现 该 笔 110 万 元 的 付款 申请 已 经 
相应 审批 。 由 于 涉及 “货币 资金 、 存 货 、 应 付 账 款 ”三 个 会 计 报表 项 目 和 
“存在 和 发 生 (真实 性 )、 表 达 和 披露 、 估 价 或 分 摊 (准确 性 》 三 个 认定 ， 
从 上 述 可 以 判断 ,该 笔 业务 不 涉及 “存货 ”"， 而 且 “ 应 付 账 款 ” 也 由 于 “ 货 
币 资金 ” 的 对 应 科目 而 出 现 的 ， 真正 导致 该 笔会 计 分 录 发 生 的 应 该 是 “ 货 
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币 资金 "， 这 样 就 选 定 对 应 的 会 计 报表 项 目 为 “货币 资金 "。 同 时 ， 该 笔 分 
录 附 有 完整 的 原始 单据 且 符 合 审批 要 求 ， 说 明 该 笔 业务 是 真实 的 ， 会 计 分 
录 正 确 ， 说 明 表 达 与 披露 是 正确 的 。 而 分 录 金 额 与 原始 单据 不 符 ， 说 明 是 
准确 性 存在 问题 。 最 终 我 们 判定 该 笔 业务 影响 的 就 是 “存货 ”会 计 报表 项 
目的 “估价 或 分 摊 ( 准确 性 》。 

@ 相关 性 原则 。 会 计 报表 项 目 大 多 是 由 多 个 会 计 科 目 分 析 填 列 的 , 而 
每 个 会 计 科目 又 分 为 若干 个 二 级 、 三 个 科目 ， 这 样 一 方面 会 计 报表 项 目 可 
以 自 上 而 下 追踪 到 明细 科目 ， 另 一 方面 明细 科目 最 终 也 会 自 下 而 上 地 反映 
到 会 计 报 表 项 目 中 去 。 由 于 我 们 采用 的 是 数理 统计 的 随机 抽样 方法 来 抽取 
样本 ， 并 采用 正 态 分 布 的 相关 理论 计算 错 报 金额 ， 如 果 在 抽样 时 不 对 样本 
的 范围 加 以 限定 ， 就 会 导致 哪怕 是 一 个 明细 科目 小 小 的 错 报 同 整个 会 计 报 
表 项 目的 基数 相 乘 后， 都 会 变 成 一 个 巨大 的 数字 。 经 过 对 会 计 科 目 加 以 分 
析 ， 绝 大 多 数 潜在 错 报 可 以 计算 到 一 级 会 计 科 目 ， 对 于 需要 计算 到 二 级 科 
目的 应 将 有 关 样 本 抽 全 ， 如 应 交 税 金 需 要 计算 到 其 二 级 科目 ， 则 应 细 化 、 
明确 检查 底稿 抽样 要 求 。 


3. 常见 业务 涉及 的 认定 
请 参考 表 3-5 所 举例 子 。 


表 3-5 常见 业务 涉及 的 认定 举例 














权利 与 
义务 


| 


估价 或 | 表达 和 

















合同 、 入 账 原始 单据 及 其 审批 ; 
价格 、 信 用 















如. 


《企业 内 部 控制 基本 规范 》 
S0880— 





常见 业务 
















原始 单据 连 号 





账 实 核对 、 账 账 核对 、 对 账 
减 值 准 备 、 折 IH? 
固定 资产 、 存 货 、 借 款 、 债 券 
代 保 管 ? 
成 本 费用 分 捧 









理 时 ” 才 涉 及 ; 而 发 票 校 验 的 重要 内 容 就 是 三 单 匹 配 ， 因 而 涉及 真实 性 。 

人 @@ 表达 与 披露 指 是 否 将 原始 单据 的 数据 准确 地 反映 在 报表 上 ， 只 在 入 账 环 节 
体现 。 

图 权利 与 义务 认定 包括 所 有 资产 和 负债 的 认定 ， 但 基于 重要 性 原则 ， 只 对 存货 、 
固定 资产 、 无 形 资产 、 借 款 等 需要 权 属 认定 的 项 目 在 取得 时 确认 该 认定 。 


4. 单 笔 业务 涉及 认定 举例 
请 参考 表 3-6 和 表 3-7 所 举 的 例子 。 


表 3-6 与 销售 收入 相关 的 几 项 认定 举例 
































完整 性 所 有 销售 交易 均 已 登记 人 发 运 凭 证 连续 编号 ， 并 与 销售 收入 明细 
| 账 账 核对 一 致 
一生 | 销售 交易 均 适当 审批 建立 客户 信用 评价 制度 ， 及 销售 交易 授 
真实 性 登记 入 账 的 销售 交易 是 真 | 权 审批 制度 ， 并 严格 执行 
_ ”| 实 存在 的 记录 销售 收入 时 审查 所 附 详细 凭证 
估价 或 分 摊 登记 人 上 账 的 销售 交易 正确 在 登记 销售 收入 时 将 销售 收入 上 的 数量 


| 计价 与 发 运 凭证 上 的 记录 进行 比较 核对 


0 
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续 表 
登记 人 账 的 销售 交易 分 类 | ”将 登记 入账 的 销售 交易 原始 凭证 与 会 计 
表达 和 披露 | 
恰当 科目 表 比 较 核对 
表 3-7 与 固定 资产 相关 的 几 项 认定 举例 
壮 例 
te 内 部 控制 目标 举例 | 内 部 控制 举例 
_ 认 定 、 8 
we 所 有 加 定 资产 都 已 | ”建立 并 严格 执行 固定 资产 定期 盘点 制度 ， 并 对 
> 记录 固定 资产 盘 盈 盘 亏 的 结果 跟踪 处 理 
建立 并 严格 执行 资本 性 支出 授权 审批 制度 ; 所 
有 固定 资产 的 取得 和 处 置 均 需 经 企业 管理 层 的 书 
存在 与 发 生 / | ” 账 上 记录 的 固定 资 | 面 确认 
真实 性 | 产 确实 真实 存在 设置 总 账 、 明 细 账 、 固 定 资产 登记 卡 ; 按 类 别 、 


-下 


估价 或 分 摊 


表达 和 披露 










使 用 部 门 、 每 项 固定 资产 进行 明细 分 类 核算 ; 增 
减 变化 均 有 原始 凭证 
取得 或 处 置 固定 资产 签订 合同 ， 办 理 产 权 交易 
手续 ， 取 得 或 转移 权 属 证 明 
定期 对 资产 状况 进行 检查 分 析 ， 因 市 价 持续 下 
跌 或 技术 陈旧 、 损 坏 、 长 期 闲置 等 原因 导致 其 可 
收回 金额 低 于 账面 价值 的 ， 应 将 可 收回 金额 低 于 
账面 净值 的 差额 作为 固定 资产 减 值 准备 。 减 值 数 
额 需 经 适当 审核 并 及 时 计 提 人 账 ， 并 根据 上 级 审 
定 结果 及 时 调整 
财务 部 门 按照 公司 确定 的 固定 资产 分 类 、 使 用 
年 限 计 提 固定 资产 折旧 ; 财务 部 门 负责 人 审核 本 
级 分 公司 的 折旧 提取 是 否 正确 。 财 务 部 监督 下 属 
公司 固定 资产 折旧 的 提取 情况 







所 在 固定 资产 均 为 
单位 所 有 











账 上 记录 的 固定 资 
产 金额 准确 ， 正 确 反 
映 固定 资产 的 价值 











确保 按 相 关 规 定 
计 提 折旧 , 保证 固定 
资产 和 累计 折旧 的 
准确 性 
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4.1 ”内 部 控制 体系 建设 概述 


4.1.1 ”内 部 控制 体系 建设 组 织 体系 





对 于 绝 大 多 数 公司 来 说 ， 为 保证 《内 控 规 范 》 顺 利 实施 而 执行 的 程序 
将 十 分 重要 和 复杂 。《 内 控 规范 》 的 范围 远 远 超过 一 个 公司 的 财务 部 门 所 能 
涵盖 的 工作 范围 ,将 触及 公司 的 各 个 重要 领域 , 如 生产 、 销 售 、 研 发 、IT、 
税务 、 法 律 及 内 部 审计 等 几乎 公司 所 有 职能 领域 .《 内控 规 范 》 不 只 是 财务 
或 内 部 审计 部 门 的 事 ， 管 理 层 还 将 与 第 三 方 进行 更 加 广泛 的 合作 ， 如 外 部 
审计 师 、 利 益 相 关 方 ( 供应 商 、 客 户 )、 咨 询 顾问 (如 有 ) 等 。 

同时 内 部 控制 体系 建设 的 完成 将 需要 投入 大 量 的 时 间 和 公司 资源 。 

确定 内 部 控制 体系 建设 组 织 架构 尤为 重要 。 在 《内 控 规 范 》 合 规 的 头 
一 年 ， 我 们 建议 采用 项 目 管理 办 公 室 ( Project Management Office, PMO ) 
的 办 法 。 在 董事 会 及 审计 委员 会 的 领导 下 ， 由 公司 高 层 (通常 是 首席 执行 
官 /CEO、 首 席 财务 官 /CFO ) 担任 “内 部 控制 建设 项 目 ” 负 责 人 ， 在 其 领导 
下 成 立 “ 内 部 控制 建设 项 目 指导 委员 会 ”( Steering Committee )， 全 面 负责 
协调 整个 项 目的 顺利 实施 。 该 委员 会 应 从 各 主要 相关 部 门 选 出 代表 ， 这 些 
部 门 主要 包括 财务 部 门 、IT 部 门 、 业 务 部 门 〈 销 售 、 研 发 、 生 产 等 )、 法 
务 部 门 和 内 审 部 门 等 ; 在 该 委员 会 下 有 一 个 具体 操作 部 门 ， 一 般 是 内 审 部 
门 ， 或 者 单独 成 立 内 部 控制 部 门 来 推动 内 部 控制 建设 。 

对 于 具有 多 个 业务 单位 或 业务 覆盖 地 区 广泛 的 大 型 公司 来 说 ， 按 照 公 
司 业务 单位 或 地 域 进 行 划 分 , 遵循 公司 的 整体 组 织 结构 ,建立 类 似 的 机 构 ， 
并 向 总 部 “内 部 控制 建设 项 目 指导 委员 会 ”汇报 工作 。 例 如 ， 按 照 业 务 地 
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域 划分 的 公司 可 以 采用 如 图 4-1 所 示 架 构 设 置 。 









董事 会 /审计 委员 会 


内 部 控制 建设 指导 委员 会 < 
(CEO/CFO) i 
| 
ey 


项 目 组 


( 内 审 / 内 部 控制 部 门 ) 
图 4-1 内 部 控制 体系 建设 工作 组 织 体系 















从 图 4-1 可 以 看 出 ， 在 项 目 组 织 架构 的 各 个 层面 ， 基 于 合 规 的 要 求 ， 
我 们 都 与 外 部 审计 师 保 持 良 好 的 沟通 和 互动 ， 同 时 培训 也 将 贯穿 始终 。 本 
书 第 5 章 将 更 深入 介绍 内 部 控制 组 织 体系 与 培训 方面 的 内 容 。 





相关 链接 
一 些 经 验 与 教训 分 享 


。 内 审 部 门 的 定位 。 尽 管内 审 部 门 充 分 参与 《内 控 规范 》 实 施 项 目 
是 自然 而 然 的 事情 ， 但 它 同样 必须 关注 内 控 规 范 项 目 中 没有 涉及 
的 公司 的 其 他 风险 。 如 果 由 内 审 部 门 承担 内 控 规范 项 目的 主要 责 
任 ， 那 么 内 审 的 常规 职能 将 可 能 因为 没有 资源 和 时 间 被 搁置 。 

。 厘清 责任 。《 内 控 规 范 》 项 目 很 大 程度 上 与 财务 报告 相关 ， 但 并 不 
等 于 业务 流程 负责 人 都 来 自 财 务 部 门 ， 如 正确 确认 收入 的 关键 要 
素 之 一 是 与 客户 签订 适当 的 合同 。 公 司 应 在 政策 中 具体 说 明 这 些 
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要 素 ， 但 确保 达标 的 最 终 责任 和 执行 相应 内 部 控制 程序 的 责任 很 
可 能 落 在 公司 销售 部 门 身 上 。 
。 与 外 部 审计 师 的 互动 。 为 了 确保 公司 内 部 控制 审计 的 顺利 通过 ， 
公司 管理 层 ( 内 部 控制 建设 项 目 指导 委员 会 ) 定期 与 其 外 部 审计 
师 召 开会 议 ， 淘 通 项 目 进展 及 出 现 的 问题 ， 实 现 双方 工作 的 协调 
性 ， 以 保证 项 目 效 率 与 效果 。 


4.1.2 _ 内 部 控制 体系 建设 的 内 容 


内 部 控制 建设 按 风险 及 控制 所 作用 的 层面 的 不 同 , 分 为 公司 层面 控制 、 
IT 一 般 控 制 、 业 务 层面 控制 和 IT 应 用 控制 四 个 方面 的 建设 ， 它 们 的 关系 
如 图 4-2 所 示 。 



































公司 层面 控制 
业务 层面 控制 

a 用 控 | 
务 务 务 务 务 务 务 IT 应 用 控制 (ITAC) 
流 流 流 流 流 流 流 
和 相国 鲁 丁 硬 国 一 

| | | | 
要 购 上 藻 发 同 购 产 


(TGC) 


图 4-2 各 层面 控制 的 关系 
内 部 控制 建设 过 程 主要 包括 启动 、 试 点 、 推 广 实施 、 测 试 完善 四 个 阶段 。 


1. 公司 层面 控制 建设 
公司 层面 控制 是 管理 层 确保 在 公司 内 部 各 个 领域 获得 适当 、 有 效 控制 
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的 重要 机 制 ， 主 要 包括 : 公司 层面 风险 评估 、 公 司 层面 控制 建设 。 

《1) 公司 层面 风险 评估 

风险 识别 : 公司 针对 确定 关键 事项 , 从 外 部 环境 及 内 部 环境 两 个 角度 ， 
通过 关键 成 功 因素 的 分 析 ， 考 虑 和 寻找 在 实现 目标 过 程 中 内 外 部 风险 。 

风险 分 析 : 判断 风险 重要 性 水 平 ， 形 成 公司 层面 风险 数据 库 。 

风险 应 对 : 针对 已 识别 的 公司 层面 风险 ， 对 现 有 控制 进行 有 效 性 、 充 
分 性 分 析 ， 通 过 规范 统一 或 者 重新 设计 ， 确 定 并 实施 其 中 的 关键 控制 ， 形 
成 完整 统一 的 公司 层面 风险 管理 的 策略 、 机 制 、 重 要 标准 、 关 键 过 程 程序 
及 重大 的 改进 措施 。 

具体 内 容 请 参考 本 书 第 2 章 。 

《2) 公司 层面 控制 建设 内 容 

以 《内 控 规范 》 为 基础 ， 全 面 开 展 内 部 控制 体系 建设 ,覆盖 全 部 业务 
和 部 门 ， 建 立 包 括 内 部 环境 、 风 险 评估 、 控 制 活 动 、 信 息 与 沟通 、 内 部 监 
督 五 要 素 的 内 部 控制 体系 。 

1 ) 内 部 环境 

内 部 环境 确立 公司 风险 管理 的 总 体态 度 ， 是 内 部 控制 体系 的 基础 ， 是 
有 效 实施 风险 管理 的 保障 ， 直 接 影响 内 部 控制 体系 的 执行 、 公 司 经 营 目 标 
及 整体 战略 目标 的 实现 。 

内 部 环境 要 素 包 括 : 诚信 与 道德 价值 观 、 发 展 目标 、 管 理 理念 与 企业 
文化 、 风 险 管理 策略 、 董 事 会 及 审计 委员 会 、 组 织 结 构 、 权 利和 责任 的 分 
配 、 人 力 资源 政策 与 措施 、 员 工 胜任 能 力 、 反 舞弊 机 制 等 内 容 。 

2 ) 风险 评估 

风险 评估 是 识别 及 分 析 影 响 公司 目 标 实现 的 风险 的 过 程 ， 是 风险 管理 
的 基础 。 在 风险 评估 中 ， 管 理 层 应 识别 和 分 析 对 实现 目标 具有 阻碍 作用 的 
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业务 层面 和 公司 层面 的 风险 ， 明 确 在 重要 会 计 科目 、 披 露 事项 和 相关 财务 
报表 认定 中 产生 重大 错 报 的 风险 。 

风险 评估 主要 经 过 目标 制定 、 风 险 识别 、 风 险 分析 、 风 险 反应 四 项 基 
本 程序 。 

3 ) 控制 活动 

控制 活动 是 确保 管理 层 关于 风险 应 对 方案 得 以 贯彻 执行 的 政策 和 程 
序 。 控 制 活动 存在 于 公司 所 有 级 别 的 分 支 机 构 和 职能 部 门 ， 包 括 授权 、 批 
准 、 查 证 、 核 对 、 报 告 、 内 部 审计 、 重 大 风险 预警 、 企 业 法 律 顾问 、 经 营 
业绩 评价 和 资产 保全 措施 等 活动 。 

控制 活动 重点 关注 针对 公司 的 每 项 业务 活动 都 要 有 必要 和 恰当 的 政策 
和 程序 ， 已 确定 的 控制 行为 能 得 到 恰当 的 执行 。 

4 ) 信息 与 沟通 

信息 与 沟通 的 构成 要 素 包括 信息 、 沟 通 、IT 一 般 控制 、IT 应 用 控制 和 
信息 披露 等 。 其 中 信息 是 指 来 源 于 公司 内 、 外 部 ， 与 公司 经 营 相关 的 财务 
及 非 财务 信息 。 沟 通 是 指 信息 在 公司 内 部 各 层次 、 各 部 门 ， 以 及 在 公司 与 
客户 、 供 应 商 、 监 管 者 和 股东 等 外 部 环境 之 间 的 传递 。 

公司 应 建立 有 效 的 IT 一 般 控制 、IT 应 用 控制 并 监督 执行 。 

5 ) 内 部 监督 

内 部 监督 是 管理 层 对 公司 内 部 控制 体系 有 效 性 进行 持续 评估 的 过 程 ， 
包括 : 持续 监督 、 独 立 评估 和 缺陷 报告 三 要 素 。 


2. IT 一 般 控 制 建设 


IT 一 般 控制 (IT General Control，ITGC ) 是 内 部 控制 建设 的 一 个 重要 
组 成 部 分 ， 它 所 指 的 是 内 部 控制 中 对 信息 系统 相关 部 分 的 控制 ， 保 证 由 信 
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息 系统 支持 的 流程 控制 是 可 靠 的 、 生 成 的 数据 和 报告 是 可 信 的 。IT 一 般 控 
制 涉 及 了 IT 管理 和 运营 的 各 个 方面 。 

IT 一 般 控 制 建设 的 内 容 包括 : 控制 环境 、 信 息 安全 、 项 目 建 设 管理 、 
系统 变更 管理 、 信 息 系 统 日 常 运作 、 最 终 用 户 操作 等 ， 具 体 为 : 

QD 控制 环境 。 包 括 信 息 系统 总 体 控制 环境 、 信 息 与 沟通 、 风 险 评估 、 
监控 等 。 

@@ 信息 安全 。 包 括 信息 安全 管理 组 织 、 逻 辑 安 全 、 物 理 安全 、 网 络 安 
全 、 计 算 机 病毒 防护 、 第 三 方 安全 管理 、 信 息 安 全 事件 响应 等 。 

@@ 项 目 建 设 管理 。 包 括 项 目 建设 方法 论 、 项 目 立 项 审批 、 商 业 软 件 及 
硬件 的 外 购 、 项 目 启动 、 项 目 需求 分 析 、 项 目 设 计 、 系 统 开发 实施 、 系 统 
测试 、 数 据 移植 、 系 统 上 线 、 项 目 验收 和 上 线 后 评 佑 、 用 户 培训 等 。 

@ 系统 变更 管理 。 包 括 变更 管理 、 日 常 变更 流程 、 紧 急 变 更 流程 等 。 

@) 信息 系统 日 常 运作 。 包 括 机 房 环 境 控制 、 系 统 日 常 运作 监控 、 批 处 
理 作业 调度 管理 、 备 份 与 恢复 、 问 题 管理 等 。 

@ 最 终 用 户 操 作 。 包 括 最 终 用 户 计 算 机 操作 安全 制度 、 电 子 表格 管 
理 等 。 


3. 业务 层面 控制 建设 


业务 层面 控制 建设 的 主要 内 容 是 针对 业务 活动 层面 风险 ， 以 公司 层面 
控制 政策 为 导向 ， 规 范 业 务 流程 ， 制 定 业务 活动 层面 风险 控制 措施 。 

业务 层面 控制 建设 的 主要 内 容 有 : 

(1) 业务 流程 梳理 

业务 流程 梳理 就 是 按照 一 定 的 架构 ， 将 企业 各 项 业务 活动 、 相 关 要 素 
及 其 关联 性 以 业务 流程 的 形式 反映 出 来 。 通 过 流程 梳理 可 以 将 各 项 业务 活 
动 与 岗位 设置 、 岗 位 职责 、 工 作 制 度 等 诸 因素 结合 起 来 ， 是 识别 风险 、 分 
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析 控 制 措施 及 分 析 风 险 管理 水 平 ， 进行 流程 管理 、 内 部 控制 建设 及 ERP 建 
设 的 前 提 。 

《2) 业务 流程 描述 

业务 流程 的 描述 形式 有 文本 法 、 表 格 法 和 图 形 法 等 。 根 据 公 司 实际 采用 
的 方法 ,流程 描述 要 素 应 包括 : 业务 流程 名 称 编码 和 起 止 点 、 工 作 步 又 、 业 
务 风 险 点 、 控 制 要 求 、 工 作 界面 , 以 及 对 应 的 组 织 机 构 、 岗 位 和 记录 表单 等 。 

(3) 风险 控制 矩阵 

1 ) 风险 评估 

风险 评估 是 识别 及 分 析 影 响 公 司 目标 实现 的 因素 的 过 程 ， 是 风险 管理 
的 基础 。 主 要 经 过 目标 设 定 、 风 险 识 别 、 风 险 分 析 、 风 险 反应 四 项 基本 程 
序 , 识别 出 业务 活动 中 存在 的 风险 。 业 务 活动 层面 风险 主要 包括 经 营 风险 、 
合 规 性 风险 和 财务 报告 风险 等 。 

2 ) 风险 数据 库 建立 

风险 数据 库 是 进行 风险 记录 的 工具 。 风 险 数据 库 记 录 整 个 公司 业务 范 
围 内 存在 的 风险 ， 按 照 流 程 ， 记 录 各 个 流程 中 可 能 出 现 的 风险 ， 并 对 风险 
的 属性 进行 记录 。 风 险 按 影响 结果 分 为 经 营 决策 风险 、 违 反 法 律 法 规 风 险 、 
财务 报告 失真 风险 、 资 产 安全 受到 威胁 风险 、 营 私 舞弊 风险 五 类 ; 按 重要 
性 程度 分 为 关键 风险 和 一 般 风 险 ; 按照 其 反映 的 内 容 分 为 公司 层面 风险 和 
业务 活动 层面 风险 。 

3 ) 风险 控制 矩阵 编制 

风险 控制 矩阵 (Risk Control Matrix, RCM ) 用 来 详细 地 体现 业务 流程 
中 存在 的 风险 和 控制 措施 设计 的 情况 。 它 是 对 现 有 规章 制度 进行 描述 和 分 
析 的 主要 载体 ， 也 是 联结 业务 流程 、 风 险 、 现 有 控制 措施 、 规 章 制 度 文件 
的 工具 。 
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4 ) 差异 分 析 与 完善 

差异 分 析 主 要 是 找 出 制度 差异 的 类 型 和 具体 原因 ， 评 估 制 度 文件 的 完 
整 性 。 评 估 制 度 文件 完整 性 ， 应 从 谁 负责 执行 控制 、 什 么 时 候 、 多 久 执 行 
控制 、 控 制 的 具体 内 容 、 控 制 的 实施 证 据 五 要 素 角度 进行 ， 如 果 缺 乏 其 中 
某 些 要 素 则 为 控制 文件 不 完善 。 主 要 有 缺少 文件 规定 的 差异 和 文件 规定 不 
完善 的 差异 。 

通过 差异 分 析 ， 对 有 风险 无 控制 的 ， 要 先 建立 控制 ;对 有 控制 但 不 完 
善 的 ， 要 完善 控制 。 

5 ) 关键 控制 确认 

中 确认 关键 控制 的 基本 标准 。 关 键 控制 确认 是 在 全 面 进行 风险 评估 、 
控制 分 析 的 基础 上 ， 为 了 强化 控制 活动 ， 突 出 控制 重点 ， 简 化 评估 测试 而 
开展 的 一 项 重要 工作 。 因 此 为 了 确保 关键 控制 的 确认 结果 准确 无 误 ， 确 认 
关键 控制 的 基本 标准 是 关键 。 

@ 确认 关键 控制 的 程序 指导 。 确 认 关键 控制 ， 需 要 经 过 识别 、 修 改 、 
征求 意见 、 审 批 等 严格 的 程序 ， 确 保 关 键 控制 的 准确 。 


4. IT 应 用 控制 建设 


(1) 应 用 系统 的 划分 

信息 应 用 系统 按 对 公司 业务 流程 的 影响 程度 划分 为 重要 应 用 系统 、 普 
通 应 用 系统 和 其 他 应 用 系统 。 

1 ) 重要 应 用 系统 

这 类 应 用 系统 与 内 部 控制 直接 相关 的 应 用 系统 ， 需 要 满足 以 下 条 件 : 
在 公司 范围 内 普遍 使 用 ; 存在 对 财务 报告 产生 重大 影响 的 会 计 科 目 ， 或 存 
在 对 财务 报告 产生 重大 影响 的 功能 ,或 与 财务 系统 存在 接口 ( 手工 或 自动 ); 
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在 重大 方面 无 法 依赖 手工 控制 。 

2 ) 普通 应 用 系统 

这 类 应 用 系统 是 与 内 部 控制 间接 相关 的 应 用 系统 ， 不 存在 对 财务 报告 
产生 重大 影响 的 功能 ; 不 存在 对 财务 报告 产生 重大 影响 的 会 计 科 目 ; 在 公 
司 范围 内 不 普遍 使 用 ;所 有 重大 方面 可 以 依赖 手工 控制 。 

3 ) 其 他 应 用 系统 

重要 应 用 系统 与 普通 应 用 系统 以 外 的 应 用 系统 划分 为 其 他 应 用 系统 。 

(2) 应 用 系统 权限 管理 

应 用 系统 权限 管理 包括 访问 控制 和 职责 分 离 。 

QD 访问 控制 是 指 用 户 能 够 访问 哪些 应 用 系统 内 的 资源 或 执行 哪些 任 
务 〈 或 功能 ) 的 范围 ， 从 控制 的 角度 考虑 在 系统 中 所 拥有 的 功能 权限 和 数 
据 权 限 是 否 超出 了 其 工作 需要 。 

@ 职责 分 离 是 把 一 个 业务 ( 子 ) 流程 的 工作 内 容 分 为 几 个 职责 不 相 容 
的 部 分 并 由 不 同 的 人 来 完成 ， 避 免 因 同一 个 人 能 够 操作 不 相 容 职责 而 产生 
的 舞弊 风险 。 

《3) 应 用 系统 自动 控制 

信息 系统 可 利用 数据 类 型 校 验 、 重 复 输 入 校 验 、 批 总 量 控制 、 序 列 校 
验 、 系 统 匹 配 、 逐 一 检测 、 编 辑 校对 、 预 定 的 数据 列表 、 授 权 检 查 、 有 效 
性 检查 等 技术 控制 ， 对 应 用 系统 的 输入 、 处 理 和 输出 进行 有 效 控制 。 


4.1.3 ”内 部 控制 建设 过 程 





内 部 控制 建设 可 以 分 为 四 个 阶段 "， 如 图 4-3 所 示 。 


Q@ 主要 针对 那些 下 属 公司 众多 、 业 务 复杂 的 大 型 企业 集团 。 规 模 较 小 、 业 务 简单 的 
中 小 型 企业 ， 无 须 采用 这 种 先 试点 后 推广 的 做 法 。 
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图 4-3 ”内 部 控制 建设 阶段 


1， 启动 阶段 


启动 阶段 一 般 在 总 部 进行 ， 主 要 是 明确 建设 目标 ,确定 组 织 架 构 和 工 
作 机 制 ， 现 状 分 析 ， 人 员 培 训 ， 收 集 相关 法 规 标准 和 可 借鉴 的 经 验 ， 确 定 
总 体 阶段 及 内 容 和 工作 计划 ， 如 图 4-4 所 示 。 


明确 建设 目标 明确 整个 公司 内 部 控制 体系 建设 的 中 、 长 期 目标 


组 织 架构 和 工作 机 制 ， 选 聘 咨 询 机 构 〈 如 需要 ) 


资料 收集 收集 内 部 控制 建设 成 功 的 案例 、 相 关 法 规 、 标 准 
启动 阶段 部 控制 现 区 分 析 根据 内 部 控制 体系 要 求 ， 对 内 部 控制 现状 进行 调研 、 侧 陷 分 析 








对 体系 覆盖 所 有 单位 ， 进 行 全 员 的 内 部 控制 宣 贯 培训 





建立 工作 方法 借鉴 成 功 经 验 ， 确 定 内 部 控制 建设 的 总 体 阶 段 及 主要 内 容 


建立 工作 计划 根据 内 部 控制 现状 分 析 ， 制 定 内 部 控制 体系 建设 工作 计划 


图 4-4 启动 阶段 工作 内 容 


2. 试点 阶段 


对 于 大 型 企业 ， 下 属 公 司 繁多 ， 可 以 采取 先 试点 、 后 推广 的 方法 。 主 
要 是 通过 在 总 部 及 试点 单位 进行 现状 描述 和 风险 评估 ， 明 确 内 部 控制 建设 
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的 内 容 ， 主 要 包括 公司 层面 、 业 务 ( 流程 ) 层面 和 IT ( 信息 系统 ) 层面 三 
大 板块 ， 初 步 完 成 内 部 控制 设计 ， 如 图 4-5 所 示 。 


试点 阶段 


IT 应 用 控制 IT 一 般 控制 


| 财务 报表 认定 . 必 业务 流程 [rrGc 控制 拓 际 
财务 报表 认定 标准 || 应 用 控制 矩 了 
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编制 风险 控制 矩阵 ] | 制定 风险 评估 标准 
识别 确认 风险 与 一 


试点 单位 风险 控制 
和 矩阵 


| 
| 设计 标准 业务 流程 
总 部 风险 控制 矩阵 
主要 业务 流程 目录 
业务 流程 图 





图 4-5 试点 阶段 工作 内 容 
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3. 推广 实施 阶段 


这 个 阶段 要 在 所 有 纳入 内 部 控制 建设 范围 的 组 织 单位 全 面 推广 展开 ， 
如 图 4-6 所 示 ， 包 括 以 下 内 容 : 

中 在 公司 层面 , 下 属 公 司 细 化 落实 、 执 行 总 部 建立 的 政策 、 控 制 措施 
(包括 IT 一 般 控制 )。 

@ 在 系统 控制 方面 , 执行 IT 应 用 控制 (IT Application Control, ITAC )。 

@) 在 业务 层面 , 下 属 公司 应 用 公司 总 部 提供 的 风险 数据 清单 及 流程 描 
述 等 工具 模板 ， 确 定 本 单位 的 流程 框架 ， 进 行业 务 流程 、 风 险 控制 描述 ， 
并 开展 差异 分 析 。 

公司 总 部 对 差异 汇总 分 析 , 设计 业务 层面 的 关键 控制 ( 包括 应 用 系 
统 控制 、 电 子 表格 控制 等 )。 

@ 下 属 公司 依据 总 部 确定 关键 控制 及 统一 实施 表单 , 修订 完善 风险 控 
制 矩 阵 和 流程 图 ， 并 执行 关键 控制 和 统一 使 用 相关 的 表单 。 
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图 4-6 实施 推广 阶段 工作 内 容 


4. 测试 完善 阶段 


在 下 属 公司 对 关键 控制 的 执行 效果 进行 测试 ， 做 出 评价 ， 整 改 缺 陷 ， 
不 断 完 善 内 部 控制 体系 ， 如 图 4-7 所 示 。 
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推广 应 用 阶段 


x 在 总 部 展开 
-he 人 






在 纳入 范围 单位 全 面 展 天 


测试 完善 阶段 


图 4-7 测试 完善 阶段 工作 内 容 


4.2 公司 层面 内 部 控制 建设 


以 《内 控 规 范 》 为 依据 ， 全 面 开 展 内 部 控制 体系 建设 ， 建 立 包 括 内 部 
环境 、 风 险 评 佑 、 控 制 活 动 、 信 息 与 沟通 、 内 部 监督 五 要 素 的 内 部 控制 
体系 。 


4.2.1 ”内 部 环境 





内 部 环境 是 内 部 控制 体系 的 基础 ， 是 有 效 实施 内 部 控制 的 保障 ， 直 接 
影响 着 公司 内 部 控制 的 贯彻 执行 、 公 司 经 营 目标 及 整体 战略 目标 的 实现 
内 部 环境 确定 了 公司 的 总 体态 度 ， 是 内 部 控制 所 有 其 他 组 成 要 素 的 基础 。 

内 部 环境 包括 诚信 与 道德 价值 观 、 发 展 目标 、 管 理 理念 与 企业 文化 、 
风险 管理 策略 、 董 事 会 及 审计 委员 会 与 监事 会 、 组 织 结构 、 权 利和 责任 分 
配 、 人 力 资 源 政策 与 措施 、 员 工 胜任 能 力 、 反 舞弊 机 制 10 项 内 容 。 
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1. 诚信 与 道德 价值 观 

公司 的 目标 及 目标 实现 的 方式 基于 该 公司 的 优先 选择 、 价 值 判断 和 管 
理 层 的 经 萌 风 格 。 这 些 优 先 选 择 和 价值 判断 反映 出 公司 管理 层 的 诚信 及 其 
信奉 的 道德 价值 观 。 诚 信 与 价值 道德 观 是 企业 控制 环境 至 关 重 要 的 因素 ， 
它 影响 设计 、 管 理 和 监督 其 他 要 素 。 诚 信 与 道德 观 的 内 容 包 括 : 

(1) 职业 道德 规范 的 制定 及 推行 

管理 层 应 该 制定 全 面 的 职业 道德 规范 ， 并 向 员工 进行 传达 ， 证 员工 熟 
知 和 理解 这 些 规 定 。 

管理 层 应 该 在 言谈 和 行动 中 表现 出 对 职业 道德 规范 的 遵循 .具体 包括 : 

@ 职业 道德 规范 的 内 容 是 全 面 的 , 并 针对 利益 冲突 、 非 法 或 其 他 不 当 
付款 、 不 正当 竞争 、 内 幕 交易 等 做 出 规定 。 

@ 公司 对 职业 道德 规范 进行 有 效 的 宣传 推广 。 

包 员工 知晓 什么 行为 是 可 接受 的 , 什么 是 不 可 接受 的 ,以 及 当 遇 到 不 
当 行 为 时 应 该 采取 的 行动 。 
所 .相关 链接 

道德 规范 (摘要) 

1. 诚实 与 道德 行为 。 每 位 员工 必须 以 个 人 最 高 标准 与 职业 道德 行事 ， 
并 且 不 能 对 企图 欺骗 或 逃避 责任 行为 坐视 不 理 。 员 工 履行 公司 职责 时 ， 
其 必须 以 诚实 和 道德 作为 行事 准则 。 对 于 某 一 行为 是 否 诚实 与 道德 产生 
疑问 时 ， 所 有 员工 都 应 根据 情况 ， 从 直接 上 级 或 高 级 管理 层 寻 求 咨 询 。 

2. 利益 冲突 。 当 员工 的 个 人 利益 与 公司 利益 相 背 时 ， 就 会 导致 利益 
冲突 。 任 何 员工 应 当 积 极 避 免 任 何 现实 或 潜在 的 利益 冲突 ， 须 以 公司 的 
利益 为 重 ， 绝 不 允许 出 于 个 人 利益 的 考虑 而 损害 公司 的 利益 。 每 位 员工 
有 责任 向 公司 披露 可 能 是 直接 或 间接 利益 冲突 的 情形 ， 包 括 因 个 人 或 家 
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庭 成 员 与 其 他 商业 团体 或 组 织 机 构 的 关系 ， 对 公司 或 公司 的 业务 带 来 的 
利益 影响 。 
3.， 索 求 、 接 受 与 馈赠 。 
(D 索 求 。 公司 及 其 下 属 公司 的 员工 严禁 利用 职权 向 公司 的 客户 、 经 
销 商 、 供 应 商 及 任何 与 公司 业务 相关 的 个 人 或 团体 索 求 礼物 ， 包括 礼品 、 
贷款、 小 费 、 奖 金 、 职 务 、 协 议 、 服 务 和 帮助 。 
@@ 接受 。 任 何 员工 应 避免 接受 任何 可 能 使 其 难以 客观 工作 或 影响 其 
从 公司 利益 出 发 行事 的 礼物 。 同 样 ,任何 使 人 质疑 公司 公正 及 合理 立场 的 
礼物 ， 亦 应 予以 拒绝 。 主 动 赠 予 的 礼物 能 否 接 受 ， 以 下 原则 可 作为 标准 : 
一 不 会 影响 受 赠 者 的 工作 业绩 。 
一 受 赠 者 不 会 感到 有 义务 向 赠 予 者 做 出 回报 。 
一 受 赠 者 能 毫 无 保留 地 完全 公开 所 接受 的 礼物 。 
一 赠 予 出 于 正常 的 商业 性 质 , 如 因 广 告 、 促 销 或 商业 惯例 赠 予 的 
礼品 、 节 日 期 间 的 压岁钱 等 。 
一 礼物 的 金额 不 高 ， 如 不 超过 20 美元 ， 拒 绝 这 样 的 小 礼物 会 视 
为 不 和 气 、 不 礼貌 。 
(@@ 馈赠 。 任 何 员 工 在 任何 时 候 不 得 向 任何 个 人 或 团体 馈赠 或 行贿 ， 
谋取 不 正当 的 商业 利益 , 妨碍 其 在 合同 、 招 标 及 拍卖 下 做 出 公正 的 判断 。 
4. 内 幕 交 易 。 内 部 信息 包括 任何 未 公开 的 、 一 般 被 投资 者 视 为 投资 
决策 重要 依据 的 信息 ,无 论 这些 信 息 是 否 有 利 ， 如 尚未 发 布 的 财务 状况 ， 
对 于 结盟 或 企业 单位 或 重大 资产 的 买卖 等 其 他 重大 事项 ,诉讼 或 有 关 某 
项 业务 的 其 他 重大 事实 等 。 因 雇用 关系 或 董事 在 公司 董事 会 的 任用 而 获 
得 的 信息 不 得 用 于 谋取 利益 或 者 借 此 向 其 他 人 要 求 收取 “小 费 ”, 除非 这 
些 信 息 之 前 已 经 公开 ， 并 且 即 使 在 这 种 情况 下 ， 披 露 这 些 信 息 也 应 得 到 
其 他 必要 批准 。 











- 
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5. 不 正当 竞争 。 公司 公平 和 诚实 地 超越 其 竞争 者 。 公 司 不 寻求 通过 
非法 和 不 道德 商业 手段 ， 谍 取 竞 争 优 势 。 每 个 涉及 人 员 应 尽力 公平 对 待 
公司 的 客户 、 服 务 提供 商 、 供 应 商 、 竞 争 者 和 员工 。 任 何人 员 不 得 通过 
暗箱 操作 、 隐 眶 、 混 用 特权 、 失 实 陈述 或 任何 不 公平 的 交易 手段 取得 对 
别人 的 不 公平 优势 。 

6. 解释 与 违纪 处 理 。 如 果 对 自己 的 行为 是 否 违反 了 本 准则 存 有 和 疑虑 ， 
可 通过 电话 ( 电话 号 码 ) 电子 邮箱 (E-mail 地 址 ) 或 与 法 务 部 门 联系 寻 
求解 释 、 澄 清 及 指导 。 任 何不 遵守 本 准则 的 违纪 行为 将 受到 相应 的 纪律 
处 分 ， 包 括 解 除 劳 动 合同 ， 甚 或 诉讼 当地 司法 机 关 。 

7. 举报 。 举报 者 可 以 通过 实名 或 匿名 方式 对 违反 本 规范 的 行为 进行 
举报 。 公 司 鼓励 举报 者 在 对 违规 操作 进行 举报 时 表明 身份 ， 使 公司 获取 
更 多 信息 ， 在 必要 时 可 再 次 联系 举报 者 。 举 报 者 可 通过 以 下 任何 一 种 方 
式 举报 : 通信 地 址 (包括 邮编 ); 电话 /传真 号 码 ; 电子 邮件 地 址 等 。 








(2)“ 高 层 管理 基调 ”的 建立 

“高 层 管理 基调 ”的 建立 包括 有 详尽 的 道德 指导 和 在 公司 上 下 进行 充分 
沟通 指导 。 具 体 包 括 : 

@ 管理 层 通过 一 言 一 行 ， 在 公司 范围 内 传达 对 职业 道德 规范 的 遵循 。 

@ 员工 感觉 到 被 同仁 敦促 做 正确 事情 的 压力 。 

@ 管理 层 对 存在 问题 的 迹象 予以 适当 关注 。 

(3) 与 利益 相关 方 的 关系 

管理 层 与 员工 、 供 应 商 、 客 户 、 投 次 者、 债权人、 保险 公司 、 竞 争 对 
象 和 审计 师 等 进行 交往 时 ， 应 当 遵守 职业 道德 规范 ， 并 且 要 求 其 他 人 同样 
遵守 道德 标准 ， 与 客户 、 供 应 商 、 员 工 和 其 他 相关 方 的 日 常 业务 建立 在 诚 
实 和 公允 的 基础 上 。 
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(4) 违规 处 理 

针对 违反 政策 和 道德 标准 的 情况 及 时 采取 适当 的 措施 。 具 体 包括 : 

中 管理 层 对 公司 的 违规 行为 应 进行 回应 。 

@) 对 违规 行为 进行 处 理 ， 处 理 的 原则 和 结果 应 在 公司 上 下 进行 传达 。 

@@ 员工 确信 如 果 违 规 要 承担 后 果 。 

(5) 管理 层 对 干预 或 逾越 既定 控制 的 态度 

QD 管理 层 就 需要 进行 干预 的 情形 和 进行 干预 的 频率 订立 方针 制度 。 

@ 管理 层 对 控制 制度 的 于 预 被 适当 地 记录 和 解释 。 

@) 明确 禁止 管理 人 员 和 逾越 既定 控制 。 

以 上 所 提 到 的 “干预 ”是 指 为 了 合法 的 目的 而 偏离 既定 的 规章 和 程序 
的 行为 ,， 当 出 现 特殊 的 和 非 标准 的 交易 各 事件 时 , 管理 层 的 干预 是 合理 的 ; 
“越权 ”是 指 为 了 不 合法 的 目的 而 不 遵守 既定 的 规定 和 程序 。 

(6) 实现 目标 的 压力 

绩效 目标 ， 特 别 是 短期 目标 的 殊 定 是 合理 的 ; 薪酬 与 绩效 目标 的 实现 
挂钩 程度 是 合理 的 。 且 体 包括 ; 

QD 不 存在 偏激 的 奖惩 制度 ， 影 响 员 工 对 道德 标准 的 遵守 。 

人 升 职 和 薪金 不 能 仅 基于 短期 绩效 目标 的 实现 。 

@ 实施 控制 以 减少 其 他 形式 存在 的 诱惑 。 


2. 发 展 目标 

公司 的 发 展 目标 是 风险 评估 的 基础 和 依据 。 管 理 层 结合 公司 自身 的 实 
际 情况 制定 战略 目标 ， 在 此 基础 上 制定 相关 的 经 营 目 标 、 报 告 目标 和 合 规 
性 目标 ， 并 且 根据 企业 自身 的 发 展 目标 来 确定 风险 ， 采 取 必 要 的 行动 对 这 
些 风险 进行 管理 。 人 
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QD 战略 目标 :与 公司 的 总 目标 息息相关 ,支持 公司 完成 其 使 命 的 目标 。 

@ 经 营 目标 : 以 资源 利用 的 效率 和 效果 为 中 心 , 防止 公司 因 灾 害 性 风 
险 或 人 为 失误 而 遭受 重大 损失 的 目标 。 

@) 报告 目标 : 以 经 营 管理 和 对 外 披露 所 需 信息 的 可 靠 性 为 中 心 , 防止 
公司 因 信息 的 错 报 、 漏 报 而 遭受 损失 的 目标 。 

@ 合 规 性 目标 : 以 适用 法 律 和 法 规 的 遵循 性 为 中 心 , 防止 公司 因 违 反 
相关 法 律 、 法 规 而 遭受 损失 的 目标 。 

公司 的 发 展 目标 可 以 分 为 公司 和 业务 活动 两 个 层面 。 公 司 层面 目标 是 
指 公司 的 总 目标 和 相关 的 战略 计划 ， 以 资源 的 分 配 和 优先 利用 为 中 心 。 业 
务 活动 层面 目标 可 以 视 为 总 目标 的 子 目标 ， 是 针对 公司 业务 和 管理 活动 而 
制定 的 更 加 专门 化 的 目标 。 

(1) 公司 层面 的 目标 

公司 要 实现 有 效 控 制 首 先 要 建立 目标 。 公 司 层面 的 目标 包括 对 公司 期 
望 实现 目标 的 总 体 说 明 ， 并 辅 以 相关 的 战略 计划 做 支撑 。 

(D 公司 层面 的 目标 应 与 企业 战略 规划 息息相关 , 并 贴近 企业 实际 ,不 
泛泛 而 论 ， 对 公司 期 望 达到 的 主要 目标 进行 充分 指导 和 说 明 。 

@ 公司 层面 目标 应 及 时 向 管理 层 及 员工 进行 传达 。 

@ 公司 计划 和 预算 与 公司 层面 目标 、 战 略 计划 及 当前 情况 保持 一 致 。 

《2) 业务 活动 层面 的 目标 

QD 业务 活动 层面 的 目标 源 于 公司 的 总 体 目标 和 战略 规划 , 并 与 之 相 联 
系 。 业 务 活动 层面 的 目标 随 着 不 同时 期 、 不 同 任务 而 不 断 变化 。 这 些 目标 
应 针对 每 个 重要 活动 制定 ， 同 时 ， 各 目标 之 间 需 保持 一 致 ， 即 业务 活动 层 
面 的 目标 与 公司 层面 目标 及 战略 计划 保持 一 致 ， 各 业务 活动 层面 目标 之 间 
保持 一 致 。 业 务 活动 层面 目标 与 所 有 重要 业务 流程 相关 ， 应 具体 、 明 确 、 
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可 度量 ， 并 有 充分 的 资源 保证 目标 的 实现 。 

@ 在 业务 活动 层面 目标 的 制定 过 程 中 , 各 级 管理 层 参与 的 程度 及 他 们 
对 目标 的 负责 程度 对 目标 的 实现 会 产生 直接 影响 。 

(@ 公司 应 识别 业务 层面 目标 中 对 公司 层面 目标 产生 影响 的 重要 因素 ， 
以 采取 恰当 措施 保证 公司 层面 目标 的 顺利 实现 。 


3. 管理 理念 与 企业 文化 


管理 层 的 管理 理念 和 企业 文化 影响 公司 的 管理 方式 ， 包 括 对 各 种 风险 
的 态度 。 在 财务 报告 内 部 控制 方面 ， 管 理 层 的 管理 理念 和 企业 文化 主要 表 
现在 管理 层 对 财务 报告 的 态度 ， 如 会 计 政 策 的 选择 是 否 合理 ， 会 计 核 算 时 
是 否 遵 循 递 慎 性 原则 , 对 待 数据 处 理 、 会 计 职能 及 人 事 管理 方面 的 态度 等 。 
例如 ， 坏 账 准 备 的 计 提 方法 有 账 龄 分 析 法 、 余 额 百分比 法 、 个 别 认 定 法 ， 
公司 采用 了 账 龄 分 析 法 与 个 别 认 定 法 相 结合 的 方法 。 管 理 理念 与 企业 文化 
包括 : 

(1) 公司 接受 业务 风险 的 态度 

QD 在 介入 新 业务 前 ， 是 否 经 过 仔细 的 风险 和 收益 分 析 后 才 采 取 行 动 。 

@ 是 否 经 常 介入 风险 特别 高 的 业务 ， 还 是 在 接受 风险 方面 非常 保守 。 

(2) 关键 人 员 的 更 换 频率 

关键 部 门人 员 ( 如 经 营 、 会 计 和 数据 处 理 等 部 门 ) 的 更 换 频 率 ， 具 体 
包括 : 

Q 管理 层 和 监督 层 人 员 是 否 存 在 过 高 的 更 换 频 率 。 

外 关键 岗位 员工 是 否 存在 突然 辞职 ， 或 辞职 提前 通知 期 较 短 的 现象 。 

(3) 管理 层 对 数据 处 理 、 财 务 报告 等 的 态度 

管理 层 对 数据 处 理 和 会 计 职 能 的 态度 ， 以 及 对 财务 报告 和 资产 安全 可 


9 人 
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靠 性 的 关注 程度 。 具 体 包 括 : 

QD 管理 层 看 待 财务 职能 的 方式 及 给 予 的 授权 。 例如 , 认为 财务 部 门 仅 
仅 是 公司 的 “掌柜 ”， 还 是 经 营 管理 活动 的 控制 中 心 。 

他 所 选用 的 会 计 准 则 是 否 追求 财务 报告 利润 最 高 。 

(3) 企 事业 单位 财务 负责 人 是 否 对 报告 结果 签字 确认 。 

(@ 基层 单位 的 财务 部 门 是 否 与 总 部 的 财务 部 门 有 工作 汇报 关系 。 

@) 重大 资产 ， 如 现金 、 票 据 等 是 否 存在 很 好 的 保护 措施 ， 防 止 未 经 授 
权 的 接触 。 

(4) 高 级 管理 人 员 相 互 交 流 的 频率 

高 级 管理 人 员 和 各 级 业务 部 门 管理 人 员 相 互 交 流 的 频率 ， 特 别 是 在 双 
方 处 于 不 同 的 地 域 时 。 具 体 包括 : 

中 高 级 管理 人 员 是 否 经 常 走访 调 研 企 事 业 单位 。 

@ 是 否 经 常 召开 专业 性 的 管理 层 会 议 ， 加 强 信息 的 交流 。 


4. 风险 管理 策略 


公司 应 围绕 自身 的 发 展 战略 ， 通 过 确定 风险 容量 、 风 险 承 受 度 、 内 部 
控制 有 效 性 标准 ， 来 体现 公司 内 部 控制 的 总 体 策略 ， 并 据 此 制定 风险 反应 
方案 。 

公司 依据 发 展 战略 确定 风险 容量 ， 以 体现 公司 在 战略 制定 与 实施 过 程 
中 愿意 承受 的 风险 范围 和 风险 水 平 ， 反 映 公司 的 风险 偏好 。 公 司 针 对 特定 
目标 ,制定 具体 的 风险 承受 度 ， 体 现在 实现 特定 目标 过 程 中 公司 对 差异 的 
接受 程度 。 公 司 确定 风险 容量 和 风险 承受 度 时 ， 要 正确 认识 和 把 握 风 险 与 
收益 的 平衡 ， 防 止 忽视 风险 而 片面 追求 收益 ， 或 者 单纯 为 规避 风险 而 放弃 
发 展 机 遇 的 情况 。 风 险 承 受 度 与 风险 容量 需 保 持 一 致 。 
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5. 董事 会 及 审计 委员 会 与 监事 会 

考虑 到 管理 层 可 能 逾越 内 部 控制 ， 一 个 积极 有 效 的 董事 会 及 审计 委员 
会 与 监事 会 ， 能 够 起 到 重要 的 监督 作用 。 在 确保 有 效 的 内 部 控制 方面 ， 董 
事 会 及 审计 委员 会 与 监事 会 起 到 至 关 重 要 的 作用 。 

(1) 独立 性 

董事 会 和 监事 会 独立 于 管理 层 ， 可 以 对 管理 层 的 决策 提出 建设 性 的 必 
要 的 质疑 。 具 体 包 括 : 

@ 对 管理 层 的 决定 (如 经 营 决 策 、 重 大 交易 ) 进行 推断 并 提出 质疑 ， 
对 经 营 结果 进行 质询 ( 如 预算 执行 差异 )。 

@ 有 权 询问 和 详 查 公司 的 经 营 活动 , 提出 不 同 观点 , 并 在 认为 必要 时 
采取 适当 的 行动 。 

(2) 审计 委员 会 

建立 董事 会 审计 委员 会 ， 他 们 在 专业 和 资历 方面 能 够 有 效 地 处 理 相关 
的 重要 问题 。 审计 委员 会 由 公司 独立 董事 组 成 并 由 其 中 一 位 担任 主任 委员 ， 
其 中 至 少 有 1 名 具有 会 计 审 计 或 相关 财务 管理 专长 的 成 员 。 

(3) 董事 的 学 识 和 经 验 

董事 具有 足以 履行 其 职责 的 知识 和 经 验 。 具 体 包 括 : 董事 拥有 足够 的 
知识 、 行 业经 验 和 时 间 ， 从 而 有 效 地 开展 工作 。 

(4) 与 内 、 外 部 审计 师 的 会 面 频率 和 时 间 

@ 审计 委员 会 单独 与 首席 财务 官 (CFO )、 会 计 人 员 、 内 部 审计 师 和 
外 部 审计 师 会 面 的 频率 和 时 间 ， 对 讨论 财务 报告 流程 、 内 部 控制 与 企业 风 
险 管理 体系 ， 以 及 管理 层 绩效 的 合理 性 等 提出 重大 意见 和 建议 。 

@) 董事 会 /审计 委员 会 和 监事 会 每 年 审核 内 部 和 外 部 审计 师 的 工作 
范围 。 
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《5) 及 时 充分 地 获得 信息 

为 董事 会 /审计 委员 会 和 监事 会 及 时 充分 地 提供 信息 ,以 便 其 及 时 监督 
管理 层 的 目标 和 战略 、 公 司 的 财务 状况 和 经 营 成 果 ， 以 及 重大 协议 的 条 款 
等 。 具 体 包 括 ; 

人 董事 会 定期 收 到 关键 信息 ,如 财务 报告 、 主 要 的 市 场 变化 趋势 、 重 
大 合同 和 谈判 信息 。 

@) 董事 相信 其 得 到 了 适当 的 信息 。 

(6) 获知 和 调查 不 正当 行为 

为 董事 会 及 审计 委员 会 提供 充分 、 及 时 的 信息 ， 以 便 及 时 获知 敏感 信 
息 、 调 查 、 不 当 行为 (如 重大 的 法 律 诉 讼 、 监 管 机 构 调 查 、 贪 污 、 挪 用 公 
款 、 滥 用 公司 财产 、 违 反 内 部 人 员 交 易 法 规 、 非 法 支付 等 )。 具 体 包括 : 

QD 存在 告知 董事 会 重大 问题 的 程序 。 

@) 及 时 沟通 信息 。 

(7) 薪酬 政策 的 监控 

监控 高 级 管理 人 员 和 内 部 审计 部 门 负责 人 的 薪酬 ， 聘 用 和 终止 上 述 高 
级 管理 人 员 的 雇用 。 具 体 包 括 : 

@ 薪酬 委员 会 批准 所 有 管理 层 与 绩效 挂 多 的 激励 计划 。 

@ 薪酬 委员 会 在 咨询 审计 委员 会 意见 的 前 提 下 , 确定 内 部 审计 负责 人 
的 薪酬 和 任免 事宜 。 

(8) 建立 适当 的 “高 层 基调 ” 

高 层 基调 ( Tone of The Top ) 主要 是 指 公 司 管理 层 的 诚信 和 道德 价值 
观 等 。 具 体 包 括 : 

QD 董事 会 及 审计 委员 与 监事 会 充分 参与 、 评 价 “ 高 层 基 调 ” 的 有 效 性 。 

@ 董事 会 及 审计 委员 与 监事 会 采取 行动 以 保证 适当 的 “高 层 基 调 ”。 
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(3 董事 会 及 审计 委员 与 监事 会 明确 地 强调 管理 层 应 该 遵守 的 行为 
准则 。 

(9) 监督 管理 层 对 审计 发 现 的 跟 进 

董事 会 及 审计 委员 于 监事 会 依据 其 发 现 ， 采 取 适 当 的 措施 ， 包 括 专项 
调查 。 具 体 包括 : 

QD 向 管理 层 就 需要 采取 的 具体 行动 下 达 指 令 。 

@ 如 果 需 要 ， 进 行 监督 和 跟踪 处 理 。 


6. 组 织 结构 


公司 的 组 织 结构 提供 了 公司 为 实现 目标 ， 对 公司 的 活动 进行 规划 、 执 
行 、 控 制 和 监督 的 架构 。 通 过 组 织 结构 ， 确 定 权 限 与 职责 的 关键 领域 和 建 
立 适当 的 报告 机 制 。 

公司 根据 自身 的 需要 来 确定 其 组 织 结 构 ， 公 司 组 织 结 构 的 适当 性 在 相 
当 程度 上 取决 于 公司 的 规模 及 其 活动 的 性 质 。 组 织 结构 的 内 容 包 括 : 

(1) 组 织 结构 适应 信息 流通 和 权力 集中 程度 

QD 公司 组 织 结构 的 适当 性 ,如 组 织 结构 是 否 有 利于 信息 的 上 传 、 下 达 
和 在 各 业务 活动 间 的 传递 。 

@ 考虑 公司 经 营业 务 的 性 质 , 如 公司 的 组 织 结构 按照 适当 集中 或 分 散 
的 管理 方式 设置 。 

(2) 关键 管理 人 员 的 知识 和 经 验 

关键 管理 人 员 应 具备 执行 其 职责 的 知识 和 经 验 ， 并 接受 适当 培训 。 

(3) 汇报 机 制 的 适当 性 

组 织 结构 确 立 的 汇报 机 制 是 有 效 的 ， 能 确保 管理 人 员 之 间 有 通畅 的 沟 
通 渠 道 。 
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(4) 组 织 结构 变 化 的 适应 性 
组 织 结构 在 某 种 程度 上 应 随 环境 的 变化 而 变化 ， 并 根据 变化 的 业务 或 
行业 环境 来 评价 公司 的 组 织 结构 。 


7. 权利 与 责任 分 配 


对 于 组 织 内 的 全 部 活动 ， 是 否 合理 有 效 地 分 配 了 职责 和 权限 ， 并 为 执 
行 任务 和 承担 职责 的 组 织 成 员 特别 是 关键 岗位 的 人 员 ， 提 供 和 配备 所 需 的 
资源 ， 并 确保 他 们 的 经 验 和 知识 与 职责 权限 相 匹配 。 要 使 所 有 员工 知道 他 
们 的 职责 和 权限 。 具 体 包括 : 

《1) 职责 和 职权 进行 了 分 配 

要 根据 公司 的 目标 、 经 营 职能 和 监管 要 求 ， 分 配 责 任 和 授权 ， 包 括 信 
息 系统 的 责任 和 变化 的 授权 。 具体 包括 ; 职权 和 职责 被 授予 公司 内 的 员工 ; 
对 员工 进行 授权 和 分 配 职责 时 ， 应 充分 考虑 适当 的 信息 ; 职权 和 职责 要 相 
对 应 。 

(2) 关键 岗位 人 员 的 知识 和 技能 充分 

关键 岗位 人 员 主 要 指数 据 处 理 和 会 计 职能 部 门 的 员工 ， 其 应 具备 与 公 
司 规模 、 业 务 活 动 和 信息 系统 相 适 应 的 知识 和 技能 水 平 ; 拥有 足够 的 员工 
以 完成 其 职责 。 

(3) 责任 分 配 与 授权 是 恰当 的 

QD 完成 工作 所 需 的 权力 与 高 级 管理 人 员 参 与 的 程度 应 存在 适当 的 
平衡 。 

@) 授予 合适 级 别 的 员工 纠正 问题 或 实施 改进 的 权力 , 并 且 此 授权 也 明 
确 了 所 需 的 能 力 水 平和 权力 界限 。 
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8， 人 力 资源 政策 与 措施 


人 力 资源 政策 是 对 员工 聘 有 用、 定岗、 培训、 评价、 晋升、 考核、 薪酬 
等 方面 的 制度 规定 , 它 引 导 员 工 达到 公司 期 望 的 职业 道德 水 平和 胜任 能 力 。 
具体 包括 : 

《1) 人 力 资源 政策 和 程序 

制定 有 雇佣 、 培 训 、 晋 升 和 员工 薪酬 的 政策 及 程序 ， 该 政策 和 程序 可 
以 招聘 并 发 展 有 能 力 、 可 信 的 人 员 ， 能 够 支持 有 效 的 内 部 控制 体系 ; 对 招 
聘 和 培训 合适 人 员 的 关注 程度 是 适当 的 。 

《2) 员工 责任 和 目标 

员工 《包括 新 员工 ) 应 清楚 地 知道 他 们 的 工作 职责 及 公司 对 他 们 的 
期 望 。 

《3) 违规 行为 的 纠正 措施 

对 违背 政策 和 程序 的 行为 的 处 理 ， 包 括 管理 层 对 工作 失职 采取 适当 的 
处 理 措施 ， 对 违背 政策 的 行为 有 适当 的 纠正 措施 ， 对 员工 进行 教育 ， 使 其 
明白 错误 的 行为 。 

(4) 道德 标准 的 遵从 

将 对 职业 道德 规范 的 遵从 作为 对 员工 进行 评价 的 一 项 标准 。 

(5) 对 候选 人 的 背景 进行 核查 

核查 候选 人 的 背景 ， 特 别 要 考虑 公司 不 能 接受 的 行为 或 活动 ， 重 点 对 
频繁 更 换 工 作 和 职业 背景 相差 很 大 的 候选 人 要 仔细 核查 ， 包 括 对 犯罪 记录 
的 调查 。 


9. 员工 胜任 能 力 
员工 胜任 能 力 就 是 反映 员工 完成 工作 任务 所 需 的 知识 和 技能 。 工 作 任 
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务 需 要 具备 什么 样 的 知识 和 技能 的 员工 来 完成 ， 通 常 是 管理 层 根据 公司 的 
目标 和 实现 这 些 目标 的 战略 和 计划 ， 在 胜任 能 力 和 成 本 之 间 进 行 平衡 后 做 
出 的 决策 。 员 工 胜任 能 力 内 容 包括 : 

(1) 岗位 职责 描述 

管理 层 应 对 各 岗位 进行 职责 描述 ， 定 义 各 岗位 的 具体 工作 任务 、 职 责 
和 权限 等 。 

(2) 分 析 胜 任 工作 所 需 的 知识 和 技能 

管理 层 应 分 析 并 确定 员工 胜任 工作 所 需 的 基本 知识 和 技能 ， 并 有 证 据 
表明 员工 具备 工作 所 需 的 基本 知识 和 技能 。 


10. 反 舞 次 机 制 


(1) 舞 痊 的 概念 及 特征 

钴 星 是 指 以 故意 的 行为 获得 不 当 或 非法 的 利益 。 舞 琴行 为 主要 有 两 个 
特征 : 一 是 主观 故意 ， 二 是 获得 不 当 或 非法 利益 ， 包 括 对 财务 报告 造成 重 
大 影响 或 给 公司 造成 重大 损失 等 情况 。 比 如 ， 以 不 适当 的 收入 确认 方法 调 
节 收 入 、 高 估 资 产 或 低估 负债 ; 商业 行 峭 、 对 政府 行 峭 、 其 他 不 当 付款 等 。 

(2) 反 舞 次 机 制 关注 的 内 容 

管理 层 有 效 地 设计 、 实 施 公司 反 舞 刺 程 序 和 控制 ， 针 对 规避 财务 报告 
内 部 控制 的 行为 和 其 他 欺诈 行为 ,采取 适当 的 措施 。 

QD 董事 会 及 审计 委员 会 与 监事 会 监督 公司 反 舞 丙 程 序 和 控制 。 

@ 建立 并 推行 道德 准则 。 

@ 建立 投诉 举报 机 制 。 

@ 雇用 和 普 升 时 进行 背景 调查 。 

(3) 建立 舞弊 调查 程序 并 实施 恰当 的 补救 措施 。 
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@ 进行 舞弊 风险 评估 。 

GO 为 减少 已 识别 的 舞弊 风险 应 该 设计 并 实施 有 效 的 控制 活动 。 
@ 对 反 舞 弊 相 关 信 息 进 行 收 集 和 分 享 并 适当 培训 。 

@@ 管理 层 对 反 舞 弊 程序 和 控制 的 质量 持续 监控 和 定期 评估 。 


二 ) 相关 链接 一 一 一 一 一 一 一 一 一 
反 舞 弊 守 则 〈 摘 要 ) 

e 目标 。 此 反 舞 弊 机 制 的 主要 目标 是 防止 三 弊 ,， 加 强 公 司 的 管 治 与 内 
部 控制 ,规范 商业 行为 ， 维 护 公司 的 诚信 商业 交易 ， 建 立 公 司 员 工 
和 公众 对 存在 潜在 相反 分 歧 的 可 疑 且 兽 或 贪污 可 依 的 程序 及 保护 
措施 ， 并 实现 利于 公司 股东 合法 的 经 营 目标 ， 诚 实 与 道德 行为 。 
适用 范围 。 此 反 舞 弊 机 制 适用 于 公司 及 其 附属 公司 。 
舞弊 的 概念 及 形式 〔( 略 )。 
姓 弊 的 预防 和 控制 ( 略 )。 
姓 疯 案件 的 受理 、 调 查 、 报 告 ( 略 )。 
投诉 举报 渠道 。 通 信 地 址 (包括 邮编 ); 电话 /传真 号 码 ; 电子 邮 
件 地 址 等 。 
对 三 现行 为 的 处 理 。 根 据 违规 行为 的 情节 轻重 ， 处 以 通报 批评 ， 
降 职 ， 降 薪 ， 解 除 劳 动 合同 关系 等 ; 返还 获取 的 不 正当 利益 ， 赔 
偿 公 司 所 遭受 的 损失 等 ; 对 涉嫌 犯罪 的 人 员 , 移送 司法 机 关 处 理 ; 
对 于 打击 报复 者 ， 从 严 处 置 ; 对 于 目的 不 纯 的 虚假 举报 ,干扰 公 
司 正常 运作 甚至 构成 诽谤 的 ， 严 肃 处 理 或 移送 司法 机 关 处 理 。 











4.2.2 ”风险 评估 





本 书 第 2 章 对 风险 评估 做 了 详细 介绍 ， 第 3 章 对 财务 报告 风险 评估 做 
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了 比较 详细 的 说 明 ， 本 部 分 主要 从 制度 层面 介绍 风险 评估 。 


1. 培育 风险 管理 文化 


企业 文化 是 指 一 个 企业 长 期 形成 的 一 种 稳定 的 文化 传统 ， 它 是 企业 员 
工 共同 的 价值 观 、 思 想 信念 、 行 为 准则 、 道 德 规范 的 总 和 。 它 的 实质 是 企 
业 的 经 营 理念 、 价 值 观 和 企业 精神 。 企 业 文 化 是 一 个 企业 在 长 期 生产 经 营 
中 倡导 、 积 累 ， 经 过 筛选 提炼 成 的 ， 是 企业 的 灵魂 和 潜在 的 生产 力 ， 是 打 
造 企业 核心 竞争 力 的 战略 举措 。 

建立 具有 风险 防范 意识 的 企业 文化 ， 促 进 企业 风险 管理 水 平 、 员 工 风 
险 管理 素质 的 提升 ， 保 障 企业 风险 管理 目标 的 实现 ， 是 公司 企业 文化 建设 
的 一 项 重要 内 容 。 将 风险 管理 文化 建设 融入 企业 文化 建设 全 过 程 ， 大 力 培 
育 和 塑造 良好 的 风险 管理 文化 ， 树 立正 确 的 风险 管理 理念 ， 增 强 员工 的 风 
险 管理 意识 , 使 风险 管理 成 为 员工 的 共识 和 自觉 行动 , 促进 企业 建立 系统 、 
规范 、 高 效 的 风险 管理 机 制 。 


2. 建立 风险 评估 机 制 

公司 开展 持续 性 的 风险 评估 工作 ， 在 公司 内 部 建立 通用 的 风险 管理 语 
言 和 标准 ， 明 确 风 险 承受 度 。 

企业 应 当 报 据 设 定 的 控制 目标 ， 结 合 不 同 发 展 阶段 和 业务 拓展 情况 ， 
全 面 系统 持续 地 收集 与 风险 变化 相关 的 信息 ， 如 历史 事件 的 记录 、 相 关 的 
调查 和 分 析 资 料 、 现 有 控制 和 制度 等 信息 和 资料 。 另 外 拓展 其 他 的 信息 来 
源 ， 包 括 但 不 限于 实践 和 相关 的 经 验 ， 市 场 、 行 业 调 查 和 分 析 ， 经 济 、 工 
程 或 其 他 模型 ， 专 家 判断 等 。 

根据 收集 的 信息 ， 结 合 企业 实际 情况 ， 及 时 进行 风险 评 佑 ， 及 时 调整 
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风险 应 对 策略 。 
公司 定期 或 有 以 下 情况 之 一 发 生 时 ， 应 及 时 组 织 进行 风险 评估 : 
QD 内 部 控制 体系 建立 。 
@ 新 产品 开发 。 
@ 新 业务 介入 。 
@ 新 系统 应 用 。 
@@ 内 部 控制 政策 和 目标 修改 。 
@ 业务 流程 发 生 较 大 变化 。 
@O 组 织 机 构 变 革 。 
@ 法 律 法 规 、 监 管 要 求 发 生变 化 。 
@ 经 济 周期 性 波动 。 
@ 行业 发 生变 革 。 
四 同业 发 生 新 的 案例 。 
@@ 其 他 认为 需要 进行 风险 评估 的 情况 。 


4.2.3 _ 控制 活动 


1. 控制 活动 的 概念 


控制 活动 是 确保 管理 层 关于 风险 应 对 方案 得 以 贯彻 执行 的 政策 和 程 
序 。 控 制 活动 存在 于 公司 所 有 级 别 的 分 支 机 构 和 职能 部 门 ， 包 括 授权 、 批 
准 、 查 证 、 核 对 、 报 告 、 内 部 审计 、 重 大 风险 预警 、 经 营业 绩 评价 和 资产 
保全 措施 等 活动 。 

(1) 控制 活动 的 一 般 方 法 

控制 活动 通常 包括 : 不 相 容 职务 分 离 控制 、 授 权 审 批 控 制 、 会 计 系统 
控制 、 财 产 保护 控制 、 预 算 控 制 、 运 营 分 析 控制 、 绩 效 考评 控制 和 信息 系 
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会 , 规 实务 指南 





统 控制 等 。 

1 ) 不 相 容 职务 分 离 控制 

要 求 企业 全 面 系统 地 分 析 、 梳 理 业务 流程 中 所 涉及 的 不 相 容 职务 ， 实 
施 相应 的 分 离 措 施 ， 形 成 各 司 其 职 、 各 负 其 责 、 相 互 制约 的 工作 机 制 。 

企业 在 确定 职责 分 工 过 程 中 ， 应 当 充 分 考虑 不 相 容 职 务 相互 分 离 的 制 
衡 要 求 。 不 相 容 职务 通常 包括 : 授权 、 批 准 、 业 务 经 办 、 会 计 记录 、 财 产 
保管 、 稽 核 检 查 等 。 

不 相 容 职务 主要 有 : 

。 授权 进行 某 项 经 济 业 务 和 执行 该 项 业务 的 职务 要 分 离 ， 如 有 权 决 定 

或 审批 采购 的 人 员 不 能 同时 兼任 采购 员 职 务 。 

。 执行 某 些 经 济 业务 和 审核 这 些 经 济 业务 的 职务 要 分 离 ， 如 填写 销售 

发 票 的 人 员 不 能 兼任 审核 人 员 。 

。 执行 某 项 经 济 业务 和 记录 该 项 业务 的 职务 要 分 离 ， 如 销 货 人 员 不 能 

同时 兼任 会 计 记 账 工作 。 

。 保管 某 些 财产 物资 和 对 其 进行 记录 的 职务 要 分 离 ， 如 会 计 部 门 的 出 

纳 员 与 记 账 人 员 要 分 离 ， 不 能 同时 兼任 。 

。 保管 某 些 财产 物资 和 核对 实 存 数 与 账 存 数 的 职务 要 分 离 。 

。 记录 明细 账 和 记录 总 账 的 职务 要 分 离 。 

s。 记录 日 记 账 和 登记 总 账 的 职务 要 分 离 。 

2 ) 授权 审批 控制 

要 求 企 业 根据 常规 授权 和 特别 授权 的 规定 ， 明 确 各 岗位 办 理 业务 和 事 
项 的 权限 范围 、 审 批 程序 和 相应 责任 。 

授权 一 般 包括 常规 授权 和 特别 授权 。 常 规 授 权 是 指 企业 在 日 常 经 营 管 
理 活动 中 按照 既定 的 职责 和 程序 进行 的 授权 。 特 别 授权 是 指 企业 在 特殊 情 
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况 、 特 定 条 件 下 进行 的 授权 。 企 业 应 当 编 制 常规 授权 的 权限 指引 ， 规 范 特 
别 授 权 的 范围 、 权 限 、 程 序 和 责任 ， 严 格 控制 特别 授权 。 

企业 各 级 管理 人 员 应 当 在 授权 范围 内 行使 职权 和 承担 责任 ， 业 务 经 办 
人 员 必 须 在 授权 范围 内 办 理 业务 。 未 经 授权 的 部 门 和 人 员 ， 不 得 办 理 企业 
各 类 经 济 业 务 与 事项 。 

企业 对 于 重大 的 业务 和 事项 ( 对 于 金额 重大 、 重 要 性 高 、 技 术 性 强 、 
影响 范围 广 的 经 济 业 务 与 事项 ), 应 当 实行 集体 决策 审批 或 者 联 签 制度 , 任 
何 个 人 不 得 单独 进行 决策 或 者 擅自 改变 集体 决策 。 

3 ) 会 计 系统 控制 

要 求 企 业 严 格 执行 国家 统一 的 会 计 准则 制度 , 加 强 会 计 基 础 工作 , 明确 
会 计 任 证、 会 计 账 夭 和 财务 会 计 报告 的 处 理 程序 ， 保 证 会 计 资 料 真实 完整 。 

企业 应 当 依法 设置 会 计 机 构 ， 配 备 会 计 从 业 人 员 。 从 事 会 计 工 作 的 人 
员 ， 必 须 取 得 会 计 从 业 资格 证 书 。 会 计 机 构 负 责 人 应 当 具 备 会 计 师 以 上 专 
业 技 术 职务 资格 。 

4) 财产 保护 控制 

要 求 企业 建立 财产 日 常 管理 制度 和 定期 清查 制度 ,采取 财产 记录 、 实 
物 保 管 、 定 期 盘点 、 账 实 核对 等 措施 ， 确 保 财产 安全 。 企 业 应 当 严 格 限 制 
未 经 授权 的 人 员 接 触 和 处 置 财产 。 

5 ) 预算 控制 

要 求 企业 实施 全 面 预算 管理 制度 ， 明 确 各 责任 单位 在 预算 管理 中 的 职 
责 权 限 ， 规 范 预算 的 编制 、 审 定 、 下 达 和 执行 程序 ， 强 化 预算 约束 。 及 时 
分 析 和 控制 预算 差异 ， 采 取 改 进 措施 ， 确 保 预 算 的 执行 。 

6 ) 运营 分 析 控 制 

要 求 企业 建立 运营 情况 分 析 制 度 , 经理 层 应 当 综 合 运用 生产 、 购 销 、 投 
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资 、 筹 资 、 财 务 等 方面 的 信息 , 通过 因素 分 析 、 对 比分 析 、 趋 势 分 析 等 方法 ， 
定期 开展 运营 情况 分 析 ， 发 现存 在 的 问题 ， 及 时 查 明 原因 并 加 以 改进 。 

7 ) 绩效 考评 控制 

要 求 企业 建立 和 实施 绩效 考评 制度 ， 科 学 设置 考核 指标 体系 ， 对 企业 
内 部 各 责任 单位 和 全 体 员工 的 业绩 进行 定期 考核 和 客观 评价 ， 将 考评 结果 
作为 确定 员工 薪酬 及 职务 晋升 、 评 优 、 降 级 、 调 岗 、 辞 退 等 的 依据 ， 强 化 
对 各 部 门 和 员工 的 激励 与 约束 。 

8 ) 信息 系统 控制 

要 求 企业 结合 实际 情况 和 计算 机 IT 应 用 程度 , 建立 与 本 企业 经 营 管 理 
业务 相 适应 的 信息 化 控制 流程 ， 提 高 业务 处 理 效率 ， 减 少 和 消除 人 为 操纵 
因素 , 同时 加 强 对 IT 信息 系统 开发 与 维护 、 访 问 与 变更 、 数 据 输入 与 输出 、 
文件 储存 与 保管 、 网 络 安全 等 方面 的 控制 , 保证 信息 系统 安全 、 有 效 运 用 。 


2. 控制 活动 的 分 类 


控制 活动 的 分 类 有 多 种 划分 标准 ， 归 纳 起 来 主要 有 以 下 分 类 方法 。 

(1) 控制 活动 按 影响 的 范围 分 类 

分 为 公司 层面 控制 活动 和 业务 层面 控制 活动 两 种 。 

QD 公司 层面 控制 活动 ， 是 管理 层 确 保 在 公司 内 部 各 个 领域 获得 适当 、 
有 效 控制 的 重要 机 制 ， 包 括 控制 环境 范围 内 的 内 部 控制 、 反 舞 棘 程序 与 控 
制 、 风 险 评估 流程 、 集 中 化 的 处 理 和 和 程序、 监督、 期末 财 务 报告 流程 、 统 
一 的 规章 制度 等 。 

四 业务 层面 控制 活动 ， 直 接 作用 于 公司 生产 经 营业 务 活动 的 具体 控 
制 ， 也 称 业 务 控制 ， 如 业务 处 理 程序 中 的 批准 与 授权 、 审 核 与 复核 ， 以 及 
为 保证 资产 安全 而 采用 的 限制 接近 等 控制 。 
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(2) 控制 活动 按 作用 分 类 

分 为 预防 性 控制 和 发 现 性 控制 两 种 。 

中 预防 性 控制 , 是 指 为 防止 错误 和 非法 行为 的 发 生 , 或 尽量 减少 其 发 
生机 会 所 进行 的 一 种 控制 。 例 如 ， 岗 位 职责 分 工 、 合 同 需要 经 过 审批 、 办 
理 业务 须 经 有 关 人 员 批 准 等 。 

@ 发 现 性 控制 , 是 指 为 及 时 查 明 已 发 生 的 错误 和 非法 行为 , 或 增强 发 
现 错 误 和 非法 行为 机 会 的 能 力 所 进 行 的 各 项 控制 。 例 如 ， 编 制 银行 存款 余 
额 调节 表 、 财 产 清 查 、 核 对 账目 等 。 

(3) 控制 活动 按 手段 分 类 

分 为 人 工控 制 和 自动 控制 两 种 。 

QD 人 工控 制 , 是 以 人 工 方式 执行 的 控制 。 例如， 财务 报告 必须 由 企业 
负责 人 和 总 会 计 师 签字 并 盖 章 ， 原 始 赁 证 上 必须 有 经 办 人 员 的 签字 等 。 

地 自动 控制 , 是 由 计算 机 等 系统 自动 执行 的 控制 。 例 如 , 禁止 未 授权 
的 用 户 登 录 系 统 ， 系 统 自动 的 账目 核对 等 。 

(4) 控制 活动 按 重 要 程度 分 类 

分 为 关键 控制 和 一 般 控 制 两 种 。 

QD 关键 控制 , 是 在 相关 业务 流程 中 影响 力 和 控制 力 相对 较 强 的 一 项 或 
多 项 控制 ， 其 控制 作用 是 必 不 可 少 和 不 可 替代 的 。 如 果 缺 少 该 项 控制 ， 将 
在 很 大 程度 上 直接 导致 重大 风险 的 发 生 。 

@ 一 般 控 制 ， 只 能 发 挥 局 部 作用 ， 影 响 特定 范围 的 控制 。 

图 4-8 是 一 个 关于 控制 活动 例子 。 





3. 控制 活动 重点 关注 的 内 容 
QD 针对 公司 的 每 项 业务 活动 都 有 必要 和 恰当 的 政策 和 程序 。 
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@@ 已 确定 的 控制 行为 得 到 恰当 的 执行 ， 强 调 内 部 控制 的 执行 。 


er 


< 于 人 高 层 领导 审批 并 非 全 是 关键 控制 
€ 人 2 
提出 付款 中 请 | 


业务 负责 人 审批 | 一 检查 付款 理由 是 否 充分 业务 上 的 审核 ， 有 效 


go 见 到 业务 负责 人 签字 了 , 自己 就 i 
业务 部 门 领导 审批 一 ra an 可 能 是 形式 控制 
财务 上 核对 付款 申请 以 及 原始 
凭证 ， 审 核 付款 是 否 充分 


oem 


财务 部 门 经 理 审批 | 一 ~ 财务 上 的 审核 ， 有 效 


: | 见 到 业务 负责 人 签字 了 ,自己 就 . 
财务 总 si 可 能 是 形 
| 签字 了 ， 不 做 任何 比 对 Te 


出 到 | 十 汶 人 品 < 了 Fe 冲 
主管 领导 审批 | 一 ~ Mo 可 能 是 形式 控制 


图 4-8 控制 活动 举例 


4.2.4 ”信息 与 沟通 


信息 与 沟通 是 公司 经 营 管理 所 需 的 信息 被 识别 、 获 取 并 以 一 定形 式 及 
时 传递 ， 以 便 员工 履行 职责 ， 包 括 信息 、 沟 通 、IT 一 般 控制 、IT 应 用 控制 
和 信息 披露 等 。 


1 . 信息 


(1) 信息 的 概念 

信息 是 指 来 源 于 公司 内 、 外 部 , 与 公司 经 营 相关 的 财务 及 非 财务 信息 ， 
包括 从 外 部 获取 的 行业 、 经 济 、 监 管 信息 ， 以 及 内 部 产生 的 经 营 管理 、 财 
务 等 方面 的 信息 。 信 息 必 须 及 时 、 准 确 地 传递 给 需要 的 人 ， 以 帮助 其 行使 
各 自 的 控制 和 其 他 职能 。 


让 
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(2) 信息 的 内 容 

按 信息 来 源 不 同 ， 可 将 公司 的 信息 分 为 内 部 信息 和 外 部 信息 。 

QD 内 部 信息 主要 包括 财务 信息 、 经 营 信息 、 规 章 制度 信息 、 综 合 信 
息 等 。 

内 部 信息 的 获取 渠道 主要 有 : 机 关 职 能 部 门 的 文件 、 调 研 报 告 ， 财务 
会 计 报 告 ， 信息 收 集 、 反 映 的 情况 ， 群 众 来 信 来 访 、 员 工 直接 向 上 级 沟通 
的 信息 ;内 部 刊物 、 资 料 ; 公司 局 域 网 ， 各 种 会 议 提案 、 记 录 、 纪 要 等 。 

@ 外 部 信息 主要 包括 国家 法 律 法 规 、 国 内 外 监管 机 构 信息 ， 以 及 客 
户 、 供 应 商 、 竞 争 对 手 的 信息 等 。 

外 部 信息 的 获取 渠道 主要 有 : 国家 部 委 和 外 部 监管 方 的 文件 ; 期刊; 
中 介 机 构 ; 因特网 ; 广播 、 电 视 ; 公司 采购 及 销售 部 门 收集 的 市 场 和 价格 
信息 ; 驻 外 办 事 处 提供 的 信息 ; 外 部 来 信 来 访 ; 参加 行业 会 议 、 座 谈 交流 
等 多 种 渠道 。 

(3) 信息 重点 关注 的 内 容 

QD 建立 获取 信息 的 机 制 。 公 司 应 该 建立 获取 外 部 相关 信息 的 机 制 ， 以 
随时 掌握 有 关 市 场 状 况 、 竞 争 对 手 的 动态 、 立 法 或 监管 的 要 求 及 经 营 环境 
的 变化 等 。 

@) 及 时 向 相关 人 员 汇 报 足 够 的 信息 。 各 级 管理 人 员 能 够 及 时 得 到 并 分 
析 信 息 ， 以 便 判断 需要 采取 什么 措施 。 

@ 建立 IT 总 体 规划 。 指 定 专 门 部 门 负责 识别 不 断 产生 的 信息 需求 ， 
订立 与 战略 决策 相 联系 的 长 期 IT 总 体 规划 。 

@ 管理 层 对 信息 系统 的 支持 态度 。 为 建立 或 改进 信息 系统 提供 足够 
的 、 必 要 的 资源 ， 包 括 但 不 限于 管理 人 员 、 分 析 人 员 、 具 备 必 要 能 力 的 编 
程 人 员 控 制 措施 。 
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2. 沟通 

(1) 沟通 的 概念 

沟通 是 指 信息 在 公司 内 部 各 层次 、 各 部 门 ， 以 及 在 公司 与 客户 、 供 应 
商 、 监 管 者 和 股东 等 外 部 环境 之 间 的 传递 。 建 立 横向 和 纵向 相互 通畅 、 贯 
穿 整个 公司 的 信息 沟通 渠道 ， 确 保 公 司 目标 、 风 险 策略 、 风 险 现状 、 控 制 
措施 、 员 工 职责 、 经 营 状 况 、 市 场 变化 等 各 种 信息 在 公司 内 部 得 到 有 效 的 
传达 ; 与 公司 的 相关 方 如 供应 商 、 客 户 、 律 师 、 股 东 、 监 管 机 构 、 外 部 审 
计 师 ， 就 相关 信息 进行 必要 的 外 部 沟通 。 

(2) 沟通 的 内 容 

建立 有 效 沟通 ， 公 司 需 要 从 沟通 环境 、 沟 通 渠 道 、 沟 通 方式 及 沟通 反 
馈 多 方面 进行 建设 。 

有 效 沟通 的 特点 表现 为 : 

QD 沟通 频率 高 、 方 式 随意 。 

@ 沟通 深入 且 平 等 。 

(8 具有 沟通 所 需 的 物质 条 件 。 

@ 完善 的 沟通 制度 和 系统 。 

(3) 全 方位 的 信息 共享 。 

(3) 沟通 重点 关注 的 内 容 

QD 向 员工 传达 其 职责 和 控制 责任 的 有 效 性 。 包 括 沟通 方式 应 能 实现 沟 
通 的 目的 ; 员工 应 清楚 他 们 的 行为 要 达到 的 目标 ,以 及 他 们 的 工作 对 于 实现 
这 些 目标 有 什么 作用 ; 员工 应 清楚 自己 的 职责 与 他 人 的 职责 如 何 相 互 影响 。 

@@ 公司 内 部 是 否 充 分 交流 。 包 括 企 业内 部 沟通 的 充分 性 ， 信 息 的 完 
整 性 和 及 时 性 ， 以 及 使 员工 履行 职责 所 需 信息 的 充足 性 。 

(@@ 沟通 渠道 应 开放 有 效 。 包 括 公 司 应 存在 与 所 有 有 关 方 面 的 反馈 机 
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制 , 并 对 相关 方 的 建议 、 投诉 和 收 到 的 其 他 情况 建立 记录 并 得 到 有 效 处 理 ; 
必要 的 信息 应 向 上 级 汇报 并 采取 相应 的 跟 进 措施 。 

@ 外 部 相关 方 了 解 公司 职业 道德 规范 的 程度 。 包 括 与 外 部 的 重要 信 
息 交 流 应 由 相应 的 管理 人 员 进 行 ; 供应 商 、 客 户 和 其 他 方面 应 清楚 公司 在 
与 其 往来 的 活动 中 ， 员 工 应 遵循 的 职业 道德 规范 ， 在 与 外 部 的 日 常 交 往 中 
公司 强调 员工 应 遵循 的 职业 道德 规范 ; 其 他 公司 员工 的 不 当 行 为 应 向 适当 
人 员 汇 报 。 

@@ 管理 层 收 到 外 部 信息 后 应 采取 及 时 和 适当 的 应 对 措施 。 包 括 公司 
应 善于 接受 他 人 就 产品 、 服 务 或 其 他 方面 反映 的 问题 ， 并 且 对 这 些 信息 采 
取 适 当 的 汇报 或 处 理 措施 ; 在 与 客户 交易 或 财务 记录 中 出 现 的 错误 应 得 到 
及 时 的 纠正 ， 并 且 就 产生 错误 的 根源 进行 调查 和 纠正 ， 应 由 经 授权 的 当 事 
人 以 外 的 人 员 处 理 收 到 的 投诉 ， 并 采取 适当 的 行为 与 原始 信息 提供 者 进行 
跟踪 和 沟通 ; 管理 层 应 清楚 投诉 的 性 质 及 数量 。 


3. IT 一 般 控 制 

(1) IT 一 般 控 制 概念 

IT 一 般 控 制 是 指 适 用 于 企业 在 IT 的 开发 、 实 施 、 运 行 、 维 护 及 管理 
等 方面 的 控制 ， 它 可 以 更 好 地 保护 企业 的 信息 资产 ， 可 以 提高 信息 系统 对 
业务 的 支撑 力度 ， 增 强 企业 信息 系统 的 运行 效力 。IT 一 般 控制 简称 ITGC 
(IT General Control )。 

《2) 1T 一 般 控制 的 内 容 

IT 一 般 控 制 通常 包括 控制 环境 、 信 息 安 全 、 项 目 建设 管理 、 系 统 变更 
管理 、 信 息 系统 日 常 运 作 、 最 终 用 户 操作 等 。 wh 

人 控制 环境 包括 总 体 控制 环境 、 信 息 与 沟通 、 风 险 评估 、 wR 
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合 , 规 , 实务 , 指 , 南 





@ 信息 安全 包括 信息 安全 管理 组 织 、 逻辑 安全 、 物理 安全 、 网 络 安全 、 
计算 机 病毒 防护 、 第 三 方 安全 管理 等 。 

®@ 项 目 建设 管理 包括 项 目 立项 审批 、 项 目 建设 方法 论 、 项 目 管理 等 。 

(4 系统 变更 管理 包括 变更 管理 、 日 常 变更 流程 、 紧 急 变更 流程 等 。 

(3 信息 系统 日 常 运作 包括 机 房 环 境 控制 、 系 统 日 常 运作 监控 、 批 处 理 
作业 调度 管理 、 备 份 与 恢复 、 问 题 管理 等 。 

@ 最 终 用 户 操作 包括 最 终 用 户 计算 机 操作 安全 制度 、 电 子 表格 管 
理 等 。 


4. IT 应 用 控制 


(1) IT 应 用 控制 的 概念 

IT 应 用 控制 (IT Application Control, ITAC ) 包括 应 用 软件 中 的 电 算 化 
步 又， 以 及 用 于 控制 不 同 种 类 交易 处 理 的 相关 手工 操作 程序 。 这 些 控制 结 
合 在 一 起 ， 可 以 保证 系统 中 的 财务 和 其 他 信息 的 安全 性 、 完 整 性 、 准 确 性 
和 有 效 性 。 

《2) IT 应 用 控制 的 内 容 

IT 应 用 控制 通常 包括 业务 流程 中 使 用 的 信息 系统 ( 如 ERP 系统 ) 所 涵 
盖 的 控制 。 

(3) IT 应 用 控制 重点 关注 内 容 

人 完整 性 。 包 括 所 有 的 交易 都 经 过 处 理 , 且 只 处 理 一 次 ; 不 允许 数据 
的 重复 录入 和 处 理 ; 例外 情况 的 发 现 和 解决 。 

人 @ 准确 性 。 包 括 所 有 的 数据 ( 包括 金额 和 账户 ) 是 正确 和 合理 的 ; 例 
外 情况 被 及 时 发 现 以 保证 交易 被 记录 在 正确 的 会 计 期 间 。 

(@ 有 效 性 。 包 括 交 易 被 适当 授权 ; 系统 不 接受 虚假 交易 ; 例外 情况 被 
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发 现 和 处 理 。 
@ 接触 控制 。 包 括 未 经 授权 ， 不 得 对 数据 进行 修改 ;数据 的 保密 性 ; 
物理 设备 的 保护 等 。 


信息 披露 是 指 公 司 为 确保 符合 监管 机 构 的 监管 要 求 , 向 所 有 市 场 参与 者 
和 监管 部 门 提 供 及 时 、 有 序 、 一 致 、 准 确 、 完 整 、 可 靠 和 可 信 的 公司 信息 。 


4.2.5 ”内 部 监督 


1. 监督 的 概念 


监督 是 对 内 部 控制 体系 有 效 性 进行 评估 的 持续 过 程 ， 包 括 持 续 监 督 、 
独立 评估 和 缺陷 报告 等 要 素 。 通 俗 地 讲 ， 监 督 就 是 对 内 部 控制 体系 的 设计 
和 执行 是 否 有 效 进行 检查 的 过 程 。 


2. 监督 的 内 容 


对 内 部 控制 体系 设计 与 执行 情况 的 检查 的 形式 有 持续 监督 、 独 立 评估 
和 缺陷 报告 三 个 要 素 。 

(1) 持续 监督 

持续 监督 是 在 公司 日 常 经 营 过 程 中 进行 的 ， 包 括 日 常 的 管理 和 监督 活 
动 ， 以 及 员工 在 履行 职责 时 所 采取 的 检查 内 部 控制 执行 质量 的 行为 。 

通俗 地 讲 ， 持 续 监 督 就 是 对 内 部 控制 体系 的 日 常 管理 、 监 督 、 比 较 、 
核对 和 其 他 常规 性 活动 。 以 下 行为 均 属于 持续 监督 的 内 容 : 

@ 管理 层 在 履行 其 日 常 的 管理 活动 时 , 对 营运 报告 、 财 务 报告 与 他 们 
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所 得 到 的 资料 有 大 偏离 时 ， 可 对 报告 提出 质疑 。 

@ 来 自 外 界 团体 的 沟通 , 可 以 验证 内 部 信息 的 正确 性 , 并 能 及 时 反映 
问题 的 所 在 。 

(8 适当 的 组 织 机 构 及 监督 活动 ， 可 用 来 办 识 缺失 。 

@ 各 个 职务 的 分 离 , 使 不 同 员工 之 间 可 以 彼此 相互 检查 , 以 防止 舞 肌 。 

(3) 把 信息 系统 所 记录 的 资料 同 实际 资产 核对 。 

@ 定期 要 求 员工 陈述 他 们 是 否 了 解 企业 的 行为 准则 , 并 加 以 遵守 , 对 
于 负责 业务 和 财务 的 员工 , 则 要 求 他 们 陈述 某 些 特定 控制 是 否 都 予以 执行 ， 
管理 阶层 或 内 部 稽核 人 员 还 必须 验证 这 些 陈述 是 否 确实 等 。 

(2) 独立 评估 

独立 评估 就 是 独立 于 控制 活动 之 外 而 采取 的 定期 评估 行为 。 

通俗 地 讲 ， 独 立 评估 就 是 对 内 部 控制 体系 设计 和 执行 的 有 效 性 进行 检 
查 测试 的 活动 ， 如 公司 组 织 的 自我 测试 、 公 司 总 部 组 织 的 管理 层 测试 和 外 
部 审计 师 的 测试 等 。 

(3) 缺陷 报告 

缺陷 报告 是 将 内 部 控制 缺陷 自 下 而 上 报告 的 行为 。 缺 陷 报告 要 求 ; 及 
时 汇集 和 报告 发 现 的 内 部 控制 缺陷 、 汇 报 机 制 的 适当 性 、 跟 进 评估 的 适当 
性 等 。 监 督 三 要 素 的 关系 可 用 图 4-9 表示 。 

持续 监督 的 有 效 性 程度 越 高 ， 单 独 评估 的 需要 程度 就 越 低 。 

(4) 持续 监督 重点 关注 的 内 容 

QD 内 部 控制 体系 运行 与 维护 管理 。 

G@ 在 日 常 活动 中 获得 执行 内 部 控制 的 证 据 。 

@ 外 部 反映 对 内 部 信息 的 印证 程度 。 

(@ 定期 核对 财务 系统 数据 与 实物 资产 。 
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图 4-9 监督 三 要 素 


岛 对 内 外 部 审计 师 提出 的 关于 加 强 内 部 控制 的 措施 做 出 响应 。 

@ 培训 、 会 议 等 对 内 部 控制 有 效 性 的 反馈 。 

QD 定期 询问 员工 是 否 理解 并 执行 公司 的 职业 道德 规范 , 员工 是 否 执行 
了 内 部 控制 活动 。 

内 部 审计 活动 的 有 效 性 。 

《5) 独立 评估 重点 关注 的 内 容 

QD 独立 评估 范围 和 频率 : 对 内 部 控制 体系 适当 的 部 分 进行 评估 ; 评估 
是 由 具备 必要 技能 的 人 员 进 行 的 ; 评估 的 范围 、 履 盖 的 深度 和 频率 是 足 
够 的 。 

@ 独立 评估 过 程 : 评估 过 程 由 具有 必要 职权 的 高 级 管理 人 员 主 持 ; 测 
试 人 员 充分 地 了 解 公司 的 活动 ; 了 解 内 部 控制 体系 应 该 如 何 运作 ， 以 及 实 
际 的 运作 情况 ; 将 评估 结果 与 已 建立 的 标准 进行 对 照 ， 并 对 其 进行 分 析 。 

@@ 独立 评估 方法 : 评估 方法 使 用 核对 清单 、 问 卷 或 其 他 一 些 辅助 工 
具 ; 评估 小 组 共同 安排 评估 程序 ， 并 确保 各 方 的 努力 协调 一 致 。 

@ 独立 评估 所 需 文档 记录 : 具备 书面 的 政策 手册 、 组 织 结 构图 、 工 作 
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说 明 、 操 作 指 南 及 信息 系统 流程 图 等 文件 ;以 文档 记录 的 评估 流程 。 

(6) 缺陷 报告 重点 关注 内 容 

QD 缺陷 来 源 渠 道 的 恰当 性 : 通过 持续 监督 和 独立 评估 获取 ; 来 源 于 内 
部 或 外 部 。 

@ 汇报 机 制 的 适当 性 : 将 控制 缺陷 向 直接 负责 人 或 上 一 级 人 员 汇 报 ; 
特殊 类 型 的 缺陷 向 管理 层 和 董事 会 汇报 。 

曲 跟 进 评估 的 适当 性 : 识别 出 的 错误 交易 或 行为 得 到 纠正 ; 针对 问题 
的 根本 原因 进行 调查 ; 实施 跟 进 ， 以 确保 必要 的 整改 措施 得 到 实施 。 


IT 一 般 控制 建设 


根据 IT 一 般 控制 控制 目标 ，IT 一 般 控制 包括 控制 环境 、 信 息 安 全 、 
项 目 建设 管理 、 系 统 变更 管理 、 信 息 系统 日 常 运作 、 最 终 用 户 操作 六 方面 
内 容 。 

因为 涉及 一 些 专业 名 词 ， 先 在 此 进行 名 词 解释 。 

。 IT 部 门 。 指 总 部 IT 部门、 下属 公司 I 部门。 

。 应 用 系统 管理 员 。 指 具有 应 用 系统 管理 员 权 限 ， 能 进行 应 用 系统 日 
常 维护 和 管理 操作 的 人 员 ， 一 般 是 IT 部 门人 员 。 
应 用 系统 负责 人 。 指 对 该 应 用 系统 的 日 常 管理 活动 进行 授权 和 决策 
的 人 员 ， 以 确保 应 用 系统 的 准确 、 稳 定 、 安 全 、 可 靠 运 行 ， 并 能 满 
足 业 务 需 求 ， 一 般 是 该 系统 主要 使 用 部 门 的 关键 用 户 。 

。 信 息 安 全 管理 负责 人 。 指 负责 公司 信息 安全 工作 的 组 织 、 落 实 、 独 
立 审核 、 监 督 和 检查 的 人 员 ， 属 于 IT 部 门人 员 。 

。 边界 网 络 。 指 用 于 企业 内 部 网 络 与 mnternet、 合 作 伙伴 企业 网 络 或 其 
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他 外 部 网 络 进行 连接 的 特殊 子 网 或 网 络 设备 ， 是 企业 网 络 安全 的 第 
一 道 防 线 ， 通 过 边界 网 络 来 管理 外 部 网 络 对 内 部 网 络 的 访问 。 

。 电 子 表格 负责 人 。 指 对 电子 表格 进行 日 常 管理 的 人 员 ， 以 保证 电子 
表格 完整 、 准 确 、 安 人 全、 可靠 ， 并 能 满足 业务 需求 。 


4.3.1 _ 控制 环境 


1. 叮 总 体 规划 


Q@ 公司 IT 部 门 应 根据 业务 需要 , 组 织 制 定 公 司 IT 总 体 规划 ,并 报 经 
公司 管理 层 ( 或 者 信息 化 委员 会 、 信 息 化 办 公 室 之 类 的 机 构 ) 审批 通过 后 
下 发 执行 。 

@ IT 总 体 规划 应 包括 IT 项 i 目 建设 的 规划 、 相应 基础 设施 建设 规划 、 
IT 组 织 机 构 设 置 及 人 员 配 备 等 方面 内 容 。 

@@ 公司 开 部 门 应 定期 ( 至 少 每 年 度 ) 组 织 相关 业务 部 门 对 IT 总 体 规 
划 的 执行 情况 及 其 对 公司 业务 的 适应 性 进行 审阅 。 如 果 规 划 执 行情 况 与 规 
划 偏 离 ， 或 规划 内 容 和 公司 业务 实际 情况 不 再 适应 ， 管 理 层 应 随 之 调整 规 
划 以 适应 公司 业务 发 展 需要 。 规 划 的 调整 应 报 经 公司 管理 层 (或 者 信息 化 
委员 会 、 信 息 化 办 公 室 之 类 的 机 构 ) 审批 通过 后 下 发 执行 。 

@ 各 下 属 公司 IT 部 门 应 根据 本 公司 的 业务 需要 ， 结 合 IT 总 体 规划 ， 
制定 本 单位 的 IT 年 度 工作 计划 。 

@ 上 述 各 项 工作 的 文档 记录 均 应 归档 , 其 中 公司 IT 部 门 负责 IT 总体 
规划 及 其 定期 审阅 和 调整 文档 的 归档 ,下 属 公司 IT 部 门 负责 本 下 属 公司 IT 
年 度 工作 计划 的 归档 。 
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2. IT 组 织 架构 及 人 力 资源 管理 


公司 IT 部 门 作为 公司 IT 建设 的 牵头 部 门 ， 负 责 指导 、 监 督 各 业务 部 
门 、 专 业 公司 及 下 属 公司 的 IT 工作 。 具 体 表现 为 : 

(1) 纵向 汇报 、 沟 通 、 监 控 机 制 

QD 各 级 I 部门 每 年 对 公司 IT 部 门 进行 年 度 工作 汇报 。 

@ 公司 IT 部 门 不 定期 对 各 级 IT 部 门 的 工作 情况 进行 检查 , 形成 相关 
文档 ， 如 会 议 纪要 或 者 工作 检查 报告 等 ， 并 负责 相关 文档 的 归档 。 

(2) 职责 分 离 要 求 

各 级 IT 部 门 的 岗位 设置 应 考虑 安全 、 内 部 控制 和 职责 分 离 的 要 求 。 

在 进行 岗位 职责 定义 时 ， 应 注意 以 下 IT 管理 方面 的 职责 分 离 要 求 : 

(D 制度 执行 监督 者 应 独立 于 日 常 的 制度 执行 者 。 

@ 信息 系统 管理 活动 的 操作 者 和 授权 者 不 应 为 同一 人 。 

(@ 应 用 系统 管理 员 和 数据 库 管 理 员 不 应 为 同一 人 。 

@ 程序 开发 人 员 不 应 具备 对 生产 环境 的 访问 权限 。 

(3) 备份 机 制 

各 级 IT 部 门 在 重要 工作 岗位 上 可 设置 两 个 以 上 员工 互 为 备份 , 同时 应 
加 强 备 份 岗位 和 人 员 的 交叉 培训 。 

《4) IT 培训 计划 

各 级 IT 部 门 应 制定 针对 本 企业 IT 部 门 员工 及 普通 员工 的 芽 培训 计划 ， 
做 好 培训 工作 ， 并 负责 培训 计划 和 所 有 培训 记录 的 归档 。 


3. 信息 与 沟通 


(1) 信息 分 类 
言 息 分 类 的 目标 是 确保 企业 的 信息 资产 得 到 恰当 的 保护 ， 信 息 分 类 的 
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过 程 就 是 标识 信息 的 类 别 , 确认 信息 的 保护 级 别 。 各 级 IT 部 门 应 对 所 属 单 
位 使 用 的 信息 资产 建立 清单 、 进 行 分 级 ， 明 确 各 信息 资产 的 相关 责任 人 。 

中 建立 《信息 资产 清单 》 

@ 按 信息 资产 的 重要 性 和 敏感 性 ， 将 信息 资产 分 为 高 、 中 、 低 三 个 
级 别 。 

元 将 信息 资产 明确 资产 责任 人 ， 负 责 信息 资产 的 日 常 管理 。 

地 根据 信息 资产 的 变动 情况 ， 更 新 《信息 资产 清单 

(2) 信息 沟通 

QD 公司 IT 部 门 及 各 级 IT 部 门 负 责 在 本 单位 进行 各 项 IT 管理 政策 、 
制度 和 标准 的 宣 贯 工作 ， 明 确 各 级 IT 管理 者 的 IT 内 部 控制 职责 。 

地 各 级 IT 部 门 应 定期 评估 IT 管理 政策 、 制 度 和 标准 在 本 单位 的 执 
行情 况 ， 对 于 所 发 现 的 问题 应 分 析 其 原因 ， 制 定 相应 的 补救 措施 ， 并 向 公 
司 IT 部 门 汇报 。 

@ 以 上 活动 的 实施 部 门 负责 活动 相关 文档 的 归档 , 如 会 议 纪要 、 培 训 
记录 等 。 


4. 风险 评估 


(1) 评估 公司 及 业务 层面 的 主要 IT 风险 

公司 IT 部 门 应 对 公司 及 业务 层面 的 主要 IT 风险 进行 评估 。 
中 分 析 主 要 IT 威胁 的 影响 程度 和 发 生 概率 。 

@) 制定 相应 的 风险 防范 措施 。 

二 对 剩余 风险 进行 评估 。 

(2) 定期 审阅 IT 风险 评估 结果 

公司 IT 部 门 负责 定期 ( 每 年 ) 审阅 IT 风险 评估 结果 。 
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(3) 评估 由 变动 引起 的 风险 
当 发 生 重大 的 IT 应 用 或 者 组 织 结 构 变 动 时 ， 公 司 IT 部 门 应 对 变动 情 
况 进行 风险 评估 ， 必 要 时 调整 相关 风险 防范 措施 。 


5. 监控 


@ 各 级 IT 部 门 按照 IT 一 般 控 制 的 要 求 进行 日 常 检查 与 监控 ， 确 保 
IT 一 般 控 制 体系 的 有 效 运行 。 

@) 公司 开 部 门 每 年 应 对 公司 范围 内 的 IT 一 般 控制 执行 情况 组 织 测试 
工作 ， 进 行 相 应 监督 。 

@@ 各 级 IT 部 门 每 年 应 对 各 自 单位 的 IT 一 般 控制 执行 情况 进行 总 结 ， 
并 向 公司 IT 部 门 提交 报告 ， 报 告 内 容 包括 IT 一 般 控 制 年 度 执行 情况 、 改 
进 建议 等 。 公 司 IT 部 门 对 报告 进行 审阅 ， 并 根据 审阅 结果 确定 改进 建议 。 

@ 上 述 各 项 工作 的 文档 记录 均 应 归档 ， 各 级 IT 部 门 负 责 本 单位 的 IT 
一 般 控 制 执行 情况 报告 、 测 试 文档 和 改进 建议 等 相关 文档 的 归档 。 


4.3.2 _ 信息 安全 





(1) 信息 安全 管理 机 制 

在 公司 和 下 属 公司 设立 信息 安全 管理 负责 人 ， 信 息 安全 管理 负责 人 可 
以 由 IT 部 门 内 相关 人 员 兼 任 ， 但 要 确保 职责 分 离 。 

信息 安全 管理 负责 人 的 职责 主要 是 对 IT 日 常 工作 进行 安全 监督 和 检 
查 ， 因 此 ， 信 息 安 全 管理 负责 人 不 应 兼任 IT 日 常事 务 执行 等 工作 。 

信息 安全 管理 负责 人 的 主要 职责 包括 : 
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中 在 公司 IT 及 信息 安全 总 体 规定 框架 下 ， 负 责 信息 安全 规定 与 标准 
在 本 单位 的 宣 贯 。 

四 负责 本 单位 的 信息 安全 日 常 工作 ( 包括 逻辑 安全 、 网 络 安全 、 信 息 
安全 事件 响应 等 ) 的 监督 和 检查 。 

@ 负责 定期 比如 每 半年 ) 审核 本 单位 IT 一 般 控 制 活动 的 职责 分 离 
状况 ,填写 《职责 分 离 检查 表 》， 将 不 符 情 况 报 相关 负责 人 。 

@ 向 上 级 单位 信息 安全 管理 负责 人 进行 日 常 工作 汇报 和 重大 事项 的 
专 报 。 

名 负责 组 织 本 单位 信息 安全 的 培训 工作 。 

(2) 员工 信息 安全 培训 要 求 

各 级 IT 部 门 对 员工 进行 信息 安全 教育 和 培训 ， 以 确认 其 具有 基本 的 
信息 安全 意识 ， 对 信息 安全 培训 结果 要 书面 记录 并 归档 。 培 训 内 容 主要 
包括 : 

QD 对 网 络 管理 员 、 操 作 系 统管 理 员 、 应 用 系统 管理 员 、 数 据 库 管理 
员 等 相关 人 员 应 开展 必要 的 信息 安全 技术 培训 ， 使 这 些 员工 了 解 、 掌 握 网 
络 、 服 务 器 、 应 用 系统 、 数 据 库 、 个 人 计算 机 等 信息 资产 的 必要 信息 安全 
知识 。 

地 在 信息 安全 规定 、 标 准 发 生 重大 调整 时 ,应 组 织 相关 培训 ,使 员工 
及 时 了 解 、 掌 握 变 更 内 容 。 

®@ 在 应 用 系统 的 新 建 、 升 级 对 用 户 使 用 产生 影响 时 , 应 事先 开展 必要 
的 培训 ， 使 相关 员工 了 解 系统 变更 所 带 来 的 信息 安全 权限 和 责任 的 变化 。 

(3) 员工 被 要 求 签署 遵守 企业 的 信息 安全 规定 的 声明 

QD 员工 签署 的 聘用 合同 或 保密 协议 中 应 包含 员工 遵守 企业 信息 安全 
规定 声明 。 
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@ 人 事 部 门 负责 员 工 签署 的 遵守 企业 信息 安全 规定 声明 的 归档 。 
2. 逻辑 安全 
(1) 系统 登录 验证 机 制 
对 操作 系统 、 数 据 库 和 应 用 系统 的 访问 应 通过 安全 的 登录 程序 完成 访 
问 信息 服务 。 登 录 程 序 应 符合 下 述 要 求 : 提供 访问 控制 机 制 ， 以 确保 系统 
不 会 被 未 经 授权 的 人 访问 、 修 改 或 删除 信息 ; 应 提供 身份 验证 方法 。 
(2) 用 户 账号 管理 
1 ) 用 户 账号 分 配 规则 
系统 所 有 用 户 都 应 拥有 个 人 专用 的 唯一 账号 ， 以 便 操作 能 够 追溯 到 具 
体 责 任 人 ， 不 应 在 应 用 系统 中 设立 无 人 使 用 的 账号 。 
2 ) 普通 用 户 账 号 管理 
A. 用 户 账 号 增加 流程 
。 根据 业务 需要 增加 用 户 账 号 时 ， 申 请 人 应 填写 《用 户 账号 及 权限 管 
理 表 》 
。 申请 人 主管 领导 确认 该 用 户 的 岗位 职责 ， 同 时 审批 《用 户 账号 及 权 
限 管理 表 》。 
。 应 用 系统 负责 人 审核 《用 户 账号 及 权限 管理 表 》, 根据 申请 人 主管 领 
导 所 确定 的 申请 人 岗位 职责 分 配 相 应 的 权限 ， 并 签字 确认 。 
。 应 用 系统 管理 员 根据 《用 户 账号 及 权限 管理 表 》 创 建 用 户 ， 签 字 确 
认 后 通知 该 用 户 ， 并 人 负责 《用 户 账号 及 权限 管理 表 》 的 归档 。 
B， 用户 权限 修改 和 变更 流程 
。 用 户 因 工作 岗位 调动 或 其 他 原因 需要 变更 权限 时 ， 应 填写 《用 户 账 
号 及 权限 管理 表 》。 
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。 用 户主 管 领导 确认 该 用 户 新 的 岗位 职责 ， 并 审批 《用 户 账号 及 权限 
管理 表 》。 

。 应 用 系统 负责 人 审核 《用 户 账号 及 权限 管理 表 》, 根据 用 户主 管 领导 
所 确定 的 新 岗位 职责 ， 分 配 相应 的 用 户 权 限 ， 并 签字 确认 。 

。 应 用 系统 管理 员 根 据 《 用 户 账号 及 权限 管理 表 》 变 更 该 用 户 权 限 ， 
签字 确认 后 通知 该 用 户 ， 并 负责 《用 户 账号 及 权限 管理 表 》 的 归档 。 

C. 用 户 权限 撤销 流程 

。 员 工 因 离职 或 其 他 原因 需要 撤销 权限 时 ， 其 主管 领导 填写 《用 户 账 
号 及 权限 管理 表 》, 并 立即 通知 应 用 系统 负责 人 撤销 该 员工 账号 的 访 
问 权 限 。 

。 应 用 系统 负责 人 审阅 《用 户 账号 及 权限 管理 表 》， 并 签字 确认 。 

。 应 用 系统 管理 员 根据 《用 户 账号 及 权限 管理 表 》 撤 销 该 账号 在 所 有 
系统 的 访问 权限 ， 关 闭 用 户 账号 ， 并 签字 确认 。 

。 应 用 系统 管理 员 负 责 《 用 户 账号 及 权限 管理 表 》 的 归档 。 

。 如 果 离 职 用 户 涉及 上 级 业务 部 门 应 用 系统 的 用 户 权限 ， 则 通知 该 应 
用 系统 在 本 单位 的 主管 业务 部 门 ， 再 由 本 单位 的 主管 业务 部 门 通知 
上 级 的 主管 业务 部 门 撤销 该 账号 在 该 应 用 系统 的 访问 权限 ， 并 关闭 
用 户 账 号 。 

D. 特权 用 户 账 号 管理 

QD 特权 用 户 包括 应 用 系统 管理 员 、 数 据 库 管理 员 、 操 作 系 统管 理 员 、 








网 络 管理 员 等 及 其 他 拥有 特权 的 用 户 。 


@) 特权 用 户 登 记 管理 : 

。 应 用 系统 负责 人 对 应 用 系统 管理 员 、 数 据 库 管 理 员 、 操 作 系 统管 理 
员 等 特权 用 户 及 其 联系 方式 进行 登记 备案 ， 确 保 其 满足 职责 分 离 要 
求 ， 填 写 《 特 权 用 户 登 记 表 》 并 负责 归档 。 
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。 网 络 管理 负责 人 对 网 络 管理 员 及 其 联系 方式 进行 登记 备案 , 填写 《 特 
权 用 户 登 记 表 》 并 负责 归档 。 

。 特权 用 户 发 生变 更 和 终止 时 ， 应 及 时 更 新 《特权 用 户 登记 表 》 

@ 管理 员 用 户 中 ， 应 用 系统 管理 员 不 应 兼任 数据 库 管 理 员 和 操作 系 
统管 理 员 ， 应 用 系统 管理 员 、 数 据 库 管理 员 和 操作 系统 管理 员 不 应 参与 本 
系统 的 日 常 业务 交易 处 理 ， 如 会 计 凭证 录入 、 凭 证 审批 等 。 

(3) 口令 规则 

1 ) 初始 口令 规定 

@@ 系统 中 的 所 有 账号 应 有 口令 。 

@) 应 用 系统 、 数 据 库 、 操 作 系 统 、 网 络 设备 等 系统 的 厂商 初始 口令 应 
在 系统 投入 使 用 前 进行 修改 。 

@ 系统 管理 员 通 过 电子 邮件 告知 用 户 本 人 其 初始 口令 ,并 要 求 用 户 更 
改 初始 口令 。 

2 ) 口令 重 置 申请 规定 

Q@ 当 用 户 需 重新 申请 口令 时 应 提交 《口令 重 置 申 请 表 》 

@@ 系统 管理 员 审核 《口令 重 置 申 请 表 》 帮助 用 户 重新 设置 临时 口令 ， 
通过 电子 邮件 告知 用 户 本 人 ， 并 要 求 用 户 更 改 临 时 口令 。 

3 ) 口令 管理 规定 

Q@ 普通 用 户口 令 的 长 度 不 应 低 于 6 位 ,特权 用 户口 令 的 长 度 不 应 低 于 
8 位 ， 如 果 系 统 能 够 实现 口令 长 度 的 强制 设 定 ， 则 要 求 用 户 设置 和 修改 口 
令 应 满足 需求 ， 如 果 系 统 不 具备 该 功能 ， 应 通过 电子 邮件 要 求 用 户 的 口令 
长 度 应 符合 要 求 。 

@) 要 求 普通 用 户 每 隔 90 天 至 少 修改 一 次 口令 , 要 求 特权 用 户 每 隔 30 
天 至 少 修改 一 次 口令 ， 如 果 系 统 能 够 实现 口令 的 强制 定期 修改 ， 则 要 求 用 
户 在 规定 期 限 内 修改 口令 ; 如 果 系 统 不 具备 该 功能 ， 应 通过 电子 邮件 要 求 
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用 户 定期 修改 口令 。 

《4) 用户 权限 管理 

QD IT 部 门 根据 业务 部 门 提 供 的 职责 分 离 表 ， 转 换 成 应 用 系统 的 职责 
分 离 矩阵 。 

@ IT 部 门将 应 用 系统 的 职责 分 离 矩阵 提交 给 业务 部 门 进行 审阅 和 批 
准 ， 并 根据 职责 分 离 矩阵 进行 应 用 系统 的 用 户 权 限 设 置 。 

@@ 应 用 系统 负责 人 在 审批 《用 户 账号 及 权限 管理 表 》 时 ,要 根据 用 户 

岗位 职责 分 配 相应 的 用 户 权 限 。 

(5) 用 户 账号 和 用 户 权限 定期 审核 制度 

QD 所 有 应 用 系统 普通 用 户 权限 应 每 六 个 月 审核 一 次 ， 特 权 用 户 的 权 

限 应 每 三 个 月 审核 一 次 。 

@ 应 用 系统 普通 用 户 定期 审核 流程 : 

。 应 用 系统 管理 员 每 六 个 月 将 根据 系统 生成 的 当前 普通 用 户 清 单 及 权 
限 表 提交 给 应 用 系统 负责 人 。 

。 应 用 系统 负责 人 审核 普通 用 户 的 权限 分 配 是 否 符合 岗位 职责 ， 并 审 
核 是 否 存在 无 人 使 用 的 账号 ， 将 审核 结果 填写 在 《应 用 系统 权限 检 
查 表 》 中 ， 并 签字 确认 。 

。 在 应 用 系统 负责 人 的 监督 下 ， 应 用 系统 管理 员 根 据 《 应 用 系统 权限 
检查 表 》 纠正 不 符 的 权限 分 配 ， 并 关闭 无 人 使 用 的 账号 ， 并 签字 
确认 。 

。《 应 用 系统 权限 检查 表 》 及 普通 用 户 清单 和 权限 表 应 抄 报 给 本 单位 信 
息 安全 管理 负责 人 ， 并 由 其 负责 归档 。 

(@ 应 用 系统 管理 员 、 数 据 库 管理 员 、 操 作 系 统管 理 员 定期 审核 流程 : 

。 应 用 系统 负责 人 每 三 个 月 审核 应 用 系统 管理 员 、 数 据 库 管理 员 和 操 
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作 系 统管 理 员 是 否 与 《特权 用 户 登记 备案 表 》 一 致 ， 其 中 ， 对 应 用 
系统 管理 员 的 审核 结果 填写 在 《应 用 系统 权限 检查 表 》 中 ， 对 数据 
库 管 理 员 和 操作 系统 管理 员 的 审核 结果 填写 在 《操作 系统 /数据 库 权 
限 检查 表 》 中 。 

。 在 应 用 系统 负责 人 的 监督 下 ， 应 用 系统 管理 员 根 据 《 应 用 系统 权限 
检查 表 》 纠正 不 符 的 账号 和 权限 分 配 , 数据 库 管 理 员 和 操作 系统 管 
理 员 根 据 《 操 作 系统 /数据 库 权 限 检查 表 》 纠正 不 符 的 账号 和 权限 
分 配 。 

e。《 应 用 系统 权限 检查 表 》 和 《操作 系统 /数据 库 权限 检查 表 》 应 抄 报 
给 本 单位 信息 安全 管理 负责 人 ， 并 由 其 负责 归档 。 

(@ 网 络 管理 员 定 期 审核 流程 : 

。 网 络 管理 负责 人 每 三 个 月 审核 网 络 管理 员 是 否 与 《特权 用 户 登 记 备 
案 表 》 一 致 ， 将 审核 结果 填写 在 《防火 墙 系统 权限 检查 表 》 中 ， 并 
签字 确认 。 

。 在 网 络 管理 负责 人 的 监督 下 ， 网 络 管理 员 根 据 《 防 火 墙 系统 权 限 检 
查 表 》 纠正 不 符 的 账号 和 权限 分 配 。 

。《 防 火 墙 系统 权限 检查 表 》 应 抄 报 给 本 单位 信息 安全 管理 负责 人 , 并 
由 其 负责 归档 。 

《6) 用 户 活动 的 监控 

应 用 系统 管理 员 每 周 检查 应 用 系统 日 志 ， 审 查 是 否 有 错误 信息 或 异常 

登录 信息 ; 网 络 管理 员 每 周 检查 防火 墙 日 志 ， 审 查 是 否 有 登录 异常 信息 、 
配置 更 改 。 

(7) 服务 器 操作 系统 设置 规定 

服务 器 操作 系统 的 设置 应 符合 公司 的 标准 配置 的 要 求 。 
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QD 服务 器 操作 系统 标准 配置 方案 。 公 司 IT 部 门 负责 编制 服务 器 操作 
系统 的 标准 配置 方案 。 

@ 服务 器 操作 系统 初始 设置 管理 。 各 级 下 属 公司 的 操作 系统 管理 员 
根据 公司 的 服务 器 操作 系统 标准 配置 方案 进行 设置 ， 标 准 配置 方案 中 未 规 
定 的 内 容 保持 原 有 设置 。 

(@ 服务 器 操作 系统 设置 变更 管理 。 请 参考 变更 管理 的 相关 内 容 。 

@ 服务 器 操作 系统 设置 定期 审核 。 信 息 安全 管理 负责 人 在 操作 系统 管 
理 员 协助 下 ， 每 年 审核 服务 器 操作 系统 设置 是 否 符 合 标准 配置 方案 ,填写 
操作 系统 安全 配置 检查 表 并 负责 归档 。 

(8) 数据 的 直接 访问 

当 用 户 需 要 使 用 数据 库 专 用 工具 对 数据 库 进行 直接 数据 访问 时 ， 应 经 
过 申请 、 审 批 后 ， 由 数据 库 管 理 员 协助 用 户 进行 访问 。 

@ 用 户 需 要 直接 访问 系统 中 的 数据 时 ， 应 填写 《数据 直接 访问 申请 
表 》 说 明 访问 申请 原因 和 具体 操作 内 容 等 。 

@ 《数据 直接 访问 申请 表 》 应 由 用 户主 管 领导 签字 批准 ， 提 交 应 用 系 
统 负责 人 。 

@ 应 用 系统 负责 人 审批 《数据 直接 访问 申请 表 》 授权 给 数据 库 管 理 
员 进 行 操作 。 

@ 数据 库 管 理 员 记录 数据 直接 访问 的 对 象 和 结果 , 如 果 存 在 数据 修改 ， 
则 须 详细 描述 数据 的 修改 步 又， 并 负责 《数据 直接 访问 申请 表 》 的 归档 。 


3. 物理 安全 


(1) 进入 机 房 的 物理 安全 访问 控制 机 制 
Q@ 所 有 机 房 应 使 用 门 锁 或 电子 门禁 系统 进行 基础 保护 。 
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@ 机 房 钥匙/ 门禁 卡 管理 规定 : 

。 机 房 负 责 人 负责 机 房 钥匙 或 门禁 卡 的 发 放 ， 将 机 房 钥匙 或 门禁 卡 用 
户 列 和 人 《进入 机 房 授权 人 员 和 名单》 中 ， 并 负责 《进入 机 房 授权 人 员 
名 单 》 的 归档 。 

。 机 房 钥匙 不 应 转借 他 人 或 复制 ， 只 有 与 卡号 登记 相符 的 用 户 才 可 以 
使 用 该 门禁 卡 ， 各 用 户 不 应 将 门禁 卡 转借 他 人 。 

。 机房 钥 是 或 门禁 卡 用 户 一 旦 发 生 离 职 或 岗位 变动 等 情况 ， 机 房 负责 
人 应 及 时 回收 钥匙 ， 或 调整 、 回 收 门禁 卡 ， 并 更 新 《进入 机 房 授 权 
人 员 名 单 》 

@ 对 于 有 值班 人 员 控 制 进出 的 机 房 ,机房 负责 人 可 将 需要 经 常 进入 机 
房 但 没有 机 房 钥 匙 或 门禁 卡 的 人 员 列 人 《进入 机 房 授权 人 员 名 单 》 中 。 

《2) 进入 机 房 的 登记 管理 

对 于 没有 电子 门禁 的 机 房 或 门禁 卡 不 能 自动 记录 访问 者 账号 、 访 问 时 
间 等 信息 的 机 房 ， 应 采取 以 下 机 房 进 入 登记 制度 ; 

QD 进入 机 房 授权 人 员 每 次 进入 机 房 时 , 应 按 规定 填写 《机 房 出 人 登记 
表 》 后 进入 机 房 。 

@@ 其 他 人 员 , 包括 内 部 临时 进入 机 房 人 员 和 外 部 人 员 , 须根 据 进 入 机 
房 的 事由 ， 经 进 人 机 房 授 权 人 员 同 意 后 ， 按 规定 填写 《机 房 出 人 登记 表 》 
进入 机 房 。 

@ 机 房 负责 人 负责 《机 房 出 入 登记 表 》 的 归档 。 

(3) 敏感 的 纸 质 系统 文件 管理 

中 敏感 的 纸 质 系统 文件 应 放置 在 带 锁 的 文件 柜 里 , 包括 与 财务 报表 相 
关系 统 的 设计 、 开 发 、 测 试 、 变 更 管理 文档 、 用 户 使 用 手册 ， 以 及 网 络 和 
基础 设施 的 设计 和 变更 文档 等 。 
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四 文件 柜 和 纸 质 文件 应 由 专门 的 保管 人 员 进 行 管理 , 并 由 其 负责 纸 质 


文件 的 借阅 、 使 用 和 复制 等 处 理 活动 记录 的 归档 。 


4. 


网 络 安 全 


(1) 网 络 设 计 、 变 更 审批 管理 
QD 公司 IT 部 门 负责 制定 网 络 的 总 体 方案 。 
@ 各 级 IT 部 门 根 据 本 下 属 公司 的 业务 需要 , 结合 公司 网 络 总 体 方案 ， 


编制 本 单位 的 网 络 设计 方案 , 并 报 公司 IT 部 门 审批 、 备 案 后 实施 。 各 级 IT 
部 门 负责 本 单位 网 络 拓 朴 图 、IP 分 配 表 等 网 络 设计 文档 的 归档 。 


@ 网 络 变更 管理 。 请 参考 变更 管理 的 相关 内 容 。 

(2) 边界 网 络 设置 管理 

(D 边界 网 络 出 口 设置 应 与 业务 需求 匹配 : 

。 各 级 IT 部 门 对 边界 网 络 出 口 进 行 登记 ， 填 写 《 边 界 网 络 出 口 登 记 
表 》 详细 描述 与 业务 需求 的 匹配 关系 ， 并 报 公司 IT 部 门 审批 。 

。 各 级 IT 部 门 需 新 增 边界 网 络 出 口 时 ， 应 填写 《边界 网 络 出 口 申请 
表 》, 报 公司 IT 部 门 审批 同意 后 执行 , 并 由 各 级 IT 部 门 更 新 《边界 
网 络 出 口 登 记 表 》。 

@ 防火 墙 配置 管理 : 

。 防 火 墙 安全 配置 标准 。 公 司 IT 部 门 负责 编制 防火 墙 的 安全 配置 标准 。 

。 防 火 墙 初始 配置 。 各 级 下 属 公司 的 网 络 管理 员 根据 公司 的 防火 墙 安 
全 配置 标准 进行 设置 , 安全 配置 标准 中 未 规定 的 内 容 保持 原 有 设置 。 

。 防 火 墙 配置 变更 管理 。 请 参考 变更 管理 的 相关 内 容 。 

。 防 火 墙 配 置 定期 审核 。 信 息 安 全 管理 负责 人 在 网 络 管理 员 协 助 下 ， 
定期 (每 三 个 月 ) 审核 防火 墙 配置 是 否 符合 安全 配置 标准 , 填写 《 防 
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火 墙 安全 配置 检查 表 》 并 负责 归档 。 

(3) 网 络 监 控 与 入 侵 检 测 

@ 网 络 管理 员 每 周 检查 防火 墙 日 志 , 对 网 络 进行 监控 , 检测 是 否 有 非 
法 入 侵 。 

@ 网 络 管理 员 应 对 监控 软件 和 入 侵 检测 系统 发 现 的 网 络 异常 事件 进 
行 及 时 跟踪 ， 并 根据 问题 管理 流程 进行 安全 事件 响应 。 

(4) 远程 登录 管理 

@ 远程 登录 应 通过 安全 可 靠 的 方式 进行 ， 如 VPN。 如 果 不 能 采用 安 
全 可 靠 的 方式 ， 如 直接 拨号 登录 ， 则 应 对 传输 的 数据 进行 加 密 。 

@) 远程 登录 账号 的 申请 和 终止 流程 : 

。 用 户 填写 《远程 登录 账号 申请 表 》， 说 明 申 请 理由 及 登录 时 间 期 限 ， 

提交 用 户主 管 领导 审批 。 

。 网 络 管理 负责 人 审批 《远程 登录 账号 申请 表 》 确定 用 户 权限 。 

e。 网 络 管理 员 根据 《远程 登录 账号 申请 表 》 进 行 网 络 设置 ,通知 用 户 ， 

并 负责 《远程 登录 账号 申请 表 》 的 归档 。 

。 网络 管理 员 应 根据 用 户 申 请 的 期 限 , 及 时 关闭 到 期 的 远程 登录 账号 。 

@ 远程 登录 账号 检查 流程 : 

。 网 络 管理 员 每 三 个 月 将 远程 登录 账号 清单 提交 给 相关 网 络 管理 负 

责 人 。 

。 网 络 管理 负责 人 审核 用 户 远 程 登录 账号 是 否 合理 ， 以 及 是 否 存在 无 

人 使 用 的 用 户 账号 , 将 审核 结果 填写 在 《远程 登录 权限 检查 表 》 中 ， 

并 签字 确认 。 

。 在 网 络 管理 负责 人 的 监督 下 ， 网 络 管理 员 根 据 审查 结果 ， 关 闭 不 合 

理 和 无 人 使 用 的 远程 登录 用 户 账号 ， 并 签字 确认 。 
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。 远程 登录 权限 审查 结果 应 抄 报 给 本 单位 信息 安全 管理 负责 人 ， 并 由 
其 负责 归档 。 
@ 远程 登录 应 通过 系统 登录 验证 机 制 实现 , 应 满足 系统 登录 验证 机 制 
的 要 求 。 


5. 计算 机 病毒 防护 

(1) 防毒 软件 安装 范围 

QD 用 户 应 了 解 未 经 授权 或 恶意 软件 的 危险 性 , 采取 必要 措施 , 包括 通 
过 安装 防 病毒 软件 等 来 防止 和 探测 恶意 软件 进入 系统 。 

@ 安装 Windows 操作 系统 的 服务 器 和 个 人 计算 机 ， 要 求 安装 统一 的 
防 病毒 软件 。 

(2) 病毒 库 更 新 

QD 应 及 时 更 新 防 病毒 软件 商 发 布 的 最 新 病毒 库 。 

四 如 果 有 突 发 性 的 恶性 病毒 发 生 , 网 络 管理 员 应 通过 电子 邮件 或 门户 
网 站 发 布 病毒 更 新 通知 及 处 理 办 法 ， 员工 应 及 时 参照 执行 。 

(3) 定期 扫描 

防 病毒 软件 应 打开 定期 扫描 和 实时 监控 功能 ， 至 少 设置 为 每 月 扫描 ， 
员工 不 应 采取 任何 方式 (如 关闭 实时 监控 程序 、 钾 载 程序 等 ) 将 防 病毒 软 
件 设置 成 无 效 状态 。 


6， 第 三 方 安全 管理 


(1) 第 三 方 供应 商 服务 合同 中 有 关 信息 安全 的 必要 条 款 及 监 
与 第 三 方 供应 应 商 达成 的 合同 或 协议 应 明确 阐述 公司 的 信息 安全 规定 和 
要 求 。 如 果 合 同 或 协议 涉及 其 他 方 ， 授 权 第 三 方 访问 的 协议 须 包含 民生 广 


、 


区 
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的 访问 授权 和 访问 条 件 。 

合同 执行 部 门 应 对 第 三 方 在 合同 执行 过 程 中 的 安全 行为 按照 合同 的 要 
求 进行 监督 。 

(2) 第 三 方 供应 商 对 应 用 系统 访问 的 管理 措施 

@ 第 三 方 需要 访问 公司 应 用 系统 生产 环境 时 ， 应 填写 《用 户 账号 及 
权限 管理 表 》 说 明 账号 使 用 的 时 间 和 期 限 , 并 得 到 相关 业务 部 门 主管 领导 
的 批准 。 

@ 应 用 系统 负责 人 审阅 《用 户 账号 及 权限 管理 表 》 确保 其 权限 分 配 
符合 职责 分 离 的 要 求 ， 并 签字 确认 。 

@ 应 用 系统 管理 员 负 责 在 系统 中 创建 用 户 , 通知 用 户 , 并 负责 《用 户 
账号 及 权限 管理 表 》 的 归档 。 

@ 访问 结束 或 访问 期 限 到 期 ， 应 用 系统 管理 员 应 及 时 收回 相应 的 访 
问 权限 。 

(3) 第 三 方 供应 商 对 系统 远程 登录 的 规定 

Q@ 第 三 方 供应 商 如 需要 远程 登录 公司 内 部 网 络 , 应 事先 提出 申请 , 填 
写 《远程 登录 账号 申请 表 》 

@《 远 程 登录 账号 申请 表 》 应 由 相关 负责 人 员 审 批 。 

@ 网 络 管理 员 根据 审批 的 结果 赋予 用 户 账号 。 

@ 访问 结束 或 期 限 已 到 时 ， 网 络 管理 员 应 及 时 收回 相应 的 远程 登录 
权限 。 


7. 信息 安全 事件 响应 


信息 安全 事件 应 依据 其 对 业务 的 影响 程度 和 安全 损害 的 严重 程度 ， 根 
据 问 题 管理 流程 进行 信息 安全 事件 响应 。 
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4.3.3 ”项 目 建 设 管理 





1. 项 目 立 项 


(1) 项 目 立项 审批 

中 项 目 建设 单位 根据 自身 业务 需求 ， 向 本 单位 IT 部 门 和 规划 计划 部 
门 提出 开发 项 目 立项 申请 。 

@ 立项 申请 经 审批 同意 后 , 项 目 建设 单位 开始 进行 可 行 性 研究 。 可 行 
性 分 析 报 告 应 包括 以 下 基本 要 求 : 项 目 目标 与 范围 、 现 状 与 需求 分 析 、 技 
术 方 案 、 系 统 设 计 、 组 织 机 构 与 定员 、 实 施 计 划 、 实 施 投资 估算 、 实 施 风 
险 与 效益 分 析 。 

@ 项 目 可 行 性 研究 报告 完成 后 ， 提 交 本 单位 IT 部 门 和 规划 计划 部 门 
审批 最终 确认 项 目 是 否 立 项 。 

(2) 商业 软件 及 硬件 的 外 购 

对 已 经 通过 立项 审批 和 可 行 性 研究 且 需 要 进行 商业 软件 、 硬 件 及 服务 
外 购 的 项 目 ， 在 项 目 立 项 审批 通过 后 ， 按 照 采购 流程 进行 商业 软件 、 硬 件 
及 服务 的 外 购 ， 如 果 需 要 进行 招 投标 ， 按 照 招 投标 流程 执行 。 


2. 项 目 建 设 方法 论 

项 目的 建设 应 按 生命 周期 法 分 阶段 进行 ， 包 括 项 目 启动 、 项 目 需 求 分 
析 、 项 目 设计 、 系 统 开发 实施 、 系 统 测试 、 数 据 移植 、 系 统 上 线 、 项 目 验 
收 和 上 线 后 评估 。 

(1) 项 目 启动 

项 目 局 动 后 ， 成 立项 目 指导 委员 会 ， 当 项 目 有 多 个 子 项 目 时 ， 可 成 立 
项 目 管理 办 公 室 ， 任 命 项 目 经 理 ， 并 确定 项 目的 组 织 结构 和 成 员 ， 其 中 ， 
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se 应 包括 业务 部 门 的 相关 负责 
目 经 理应 组 织 制定 项 目的 总 体 计 划 ， 内 容 包括 : 

1 ) 项 目 范围 

项 目 范 围 描述 对 项 目 范围 如 何 进行 管理 ， 以 及 项 目 范围 怎样 变化 才能 
与 项 目 要 求 相 一 致 等 问题 ,用 以 衡量 一 个 项 目 或 项 目 阶 段 是 否 已 经 顺利 
完成 。 

2 ) 项 目 进度 管理 

项 目 进度 管理 描述 如 何 对 项 目 进度 的 变更 进行 管理 ， 用 以 保证 项 目 在 
期 望 的 时 间 内 完成 。 

3 ) 项 目 人 员 需 求 

项 目 人 员 需 求 描述 项 目的 组 织 结构 及 其 中 各 个 岗位 职责 ， 用 以 明确 各 
个 项 目 成 员 在 项 目 中 的 责任 和 义务 。 

4) 项 目 沟通 管理 

项 目 沟通 管理 描述 项 目 团队 如 何 创建 、 收 集 、 发 送 、 储 存 和 处 理 项 
目 相 关 信 息 等 内 容 ， 用 以 保证 满足 项 目 相 关 利 益 方 在 项 目 沟通 方面 的 
需求 。 

根据 项 目 需要 ， 项 目 总 体 计 划 也 可 以 包括 下 列 补充 内 容 : 

QD 项 目 成 本 管理 。 项 目 成 本 管理 描述 当 实际 成 本 与 计划 成 本 发 生 偏差 
时 如 何 进行 管理 ， 用 以 保证 项 目 在 批准 的 预算 范围 内 完成 。 

@ 项 目 质量 管理 。 项 目 质量 管理 描述 项 目 团队 如 何 具体 执行 质量 政 
策 ， 为 项 目 提出 质量 控制 、 质 量 保证 和 质量 提高 方面 的 措施 ， 确 保 项 目 实 
现 其 质量 目标 。 

@@ 项 目 风 险 管理 。 项 目 风 险 管理 计划 描述 在 项 目 整个 生命 周期 中 , 风 
险 识别 、 风 险 定性 和 定量 分 析 、 风 险 应 对 计划 、 风 险 跟踪 和 控制 是 如 何 建 
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立 和 执行 ， 用 以 管理 整个 项 目 过 程 中 所 出 现 的 风险 ， 以 规避 或 减轻 风险 对 
项 目的 不 利 影响 。 

@@ 项 目 培训 。 项 目 培训 描述 项 目的 有 关 培 训 活动 , 包括 培训 时 间 、 地 
点 、 参 加 人 员 、 所 需 资源 、 培 训 考核 方法 等 。 

项 目 总 体 计划 各 项 内 容 制定 完毕 后 ， 交 项 目 管理 办 公 室 和 项 目 指导 委 
员 会 进行 审批 ,并 由 项 目 经 理 负责 审批 后 总 体 计划 的 归档 。 

(2) 项 目 需求 分 析 

需求 分 析 工 作 的 主要 任务 就 是 对 项 目 实施 各 相关 方面 的 现状 及 各 级 用 
户 的 具体 需求 进行 调研 和 分 析 ， 最 终 形成 需求 分 析 报 告 。 

1 ) 设计 现状 、 需 求 调研 和 访谈 问卷 

项 目 经 理 组 织 各 项 目 小 组 设计 各 组 分 管 的 现状 及 需求 方面 的 访谈 问 
卷 ， 收 集 各 组 分 管 的 项 目 相关 方面 的 现状 及 各 类 需求 。 在 各 小 组 完成 问卷 
设计 后 ， 项 目 经 理 需要 对 内 容 进 行 审阅 ， 并 组 织 各 组 与 相关 业务 部 门 主管 
领导 及 成 员 就 问卷 内 容 进 行 讨 论 ， 最 终 定稿 。 

2 ) 确定 访谈 方式 和 范围 

项 目 经 理 组 织 项 目 成 员 共 同 讨论 ， 确 定 调研 访谈 对 象 及 方式 ， 制 定 调 
研 和 访谈 计划 。 

3 ) 按 访谈 计划 安排 并 进行 调研 和 访谈 

访谈 各 项 准备 工作 完成 后 ， 项 目 组 成 员 依据 访谈 计划 ， 开 始 调研 和 
访谈 。 

4 ) 收集 整理 访谈 资料 

访谈 之 后 ， 各 项 目 小 组 汇总 整理 各 自 的 访谈 纪要 ， 并 收集 整理 下 发 的 
问卷 。 
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5 ) 编制 需求 报告 

根据 调研 、 访 谈 及 其 他 途径 收集 来 的 信息 ， 项 目 经 理 组 织 各 项 目 小 组 
进行 各 分 管 方面 的 现状 及 需求 的 分 析 ， 并 编制 需求 分 析 报告 ， 内 容 包括 ; 

QD 基本 要 求 。 项 目的 目标 、 背 景 ; 业务 需求 描述 。 

外 可 选 要 求 。 组 织 结构 和 业务 部 门 设置 ; 业务 现状 ; 信息 系统 现状 ; 
组 织 和 业务 的 未 来 发 展 计划 ; 项 目的 性 能 期 望 ， 如 预期 用 户 数 、 在 线 用 户 
数 、 关 键 操作 的 响应 速度 等 ; 项 目的 前 身 及 与 相关 系统 的 联系 ; 项 目的 界 
面 要 求 。 

6 ) 需求 分 析 报 告 完 成 后 , 项 目 经 理 与 相关 业务 部 门 主管 领导 就 需求 分 
析 报 告 进行 讨论 和 确认 。 业 务 部 门 主管 领导 应 在 文档 上 签字 确认 。 

(3) 项 目 设 计 

项 目 设 计 就 是 根据 选 定 的 系统 ， 在 前 一 阶段 需求 分 析 的 基础 上 ， 对 系 
统 实施 的 所 有 细节 ， 包 括 业 务 流程 、 应 用 架构 、 技 术 架 构 和 数据 架构 等 做 
进一步 的 确定 和 细 化 设计 ， 形 成 系统 设计 说 明 书 ， 内 容 包括 功能 实现 、 系 
统 安全 等 方面 的 设计 。 

项 目 设计 应 包括 以 下 主要 流程 和 工作 内 容 : 

1 ) 概要 设计 

结合 需求 分 析 报 告 及 行业 最 佳 实践 ， 进 行 系统 概要 设计 ， 内 容 涵盖 应 
用 架构 、 技 术 架 构 和 数据 架构 等 方面 。 

2 ) 成 立 数据 收集 小 组 

如 果 项 目 实施 涉及 数据 收集 ， 应 成 立 数据 收集 小 组 ， 确 定数 据 收集 计 
划 ， 设 计数 据 收集 格式 及 表格 ， 并 开始 进行 数据 收集 。 小 组 成 员 包括 关键 
用 户 和 系统 各 主要 模块 的 实施 人 员 。 

3 ) 进行 业务 流程 设计 

结合 系统 功能 和 用 户 实际 需求 ， 对 业务 流程 进行 详细 设计 ， 设 计 应 反 
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映 内 部 控制 关键 点 。 业 务 流程 的 设计 ， 应 有 统一 的 流程 图 制作 规范 和 相应 
的 说 明 ， 企 业 核心 业务 流程 应 给 出 明确 定义 和 重点 说 明 。 

4 ) 编制 设计 说 明 书 

由 项 目 经 理 负责 组 织 开发 团队 成 员 编 制 设计 说 明 书 。 设 计 说 明 书 内 容 
包括 : 

QD 基本 要 求 。 业 务 详细 需求 , 包括 业务 描述 、 业 务 流程 、 内 部 控制 关 
键 点 等 ; 功能 说 明 ， 包 括 功能 描述 、 主 要 功能 模块 组 成 和 相互 关系 ; 项 目 
运行 的 软 硬 件 平台 及 对 客户 端 软 硬 件 环境 的 特殊 要 求 。 

@ 可 选 要 求 。 相 关 模 块 间 的 接口 ， 即 模块 间 传 递 信 息 的 内 容 、 方式 和 
协议 ; 确定 各 模块 在 计算 机 网 络 环境 下 的 物理 分 布 ; 确定 本 系统 与 其 他 外 
围 系 统 接口 ; 用 户 界面 的 设计 风格 ; 主要 算法 设计 ; 异常 处 理 设计 ; 安全 
性 设计 说 明 。 

5 ) 与 相关 方 讨论 、 确 认 签字 

项 目 经 理 与 相关 业务 部 门 主管 领导 就 设计 说 明 书 进行 讨论 和 确认 。 业 
务 部 门 主 管 领导 应 在 文档 上 签字 确认 。 

(4) 系统 开发 实施 

QD 对 于 有 编程 开发 需求 的 系统 项 目 ， 开 发 小 组 应 首先 建立 编程 标准 ， 
该 标准 包括 但 不 限于 命名 规则 、 注 释 规则 、 格 式 规则 。 全 体 开发 人 员 执 行 
该 标准 ， 根 据 设 计 说 明 书 进行 编程 工作 ， 程 序 文件 的 注释 要 做 到 清晰 、 详 
尽 ， 便 于 将 来 的 查阅 和 修改 。 

@ 在 进行 系统 配置 的 时 候 , 项 目 成 员 应 对 各 项 功能 设置 的 步 又、 参数 
等 都 进行 详细 的 记录 ， 形 成 系统 配置 文档 。 最 终 的 系统 配置 文档 是 经 过 反 
复 修改 调整 后 形成 的 ， 在 每 次 进行 或 调整 系统 配置 时 ， 都 应 更 新 相应 的 系 
统 配置 文档 。 
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(3 客户 化 工作 是 根据 用 户 需求 , 在 现 有 系统 的 基础 上 , 对 需要 进行 自 
行 开 发 的 部 分 进行 客户 化 编程 。 当 需要 进行 客户 化 程序 开发 时 ， 开 发 人 员 
根据 设计 说 明 书 中 的 客户 化 功能 说 明 ， 进 行 编程 工作 。 客 户 化 工作 阶段 可 
与 系统 配置 阶段 同时 进行 。 

@@ 开发 和 实施 人 员 不 应 访问 生产 环境 ， 开 发 工作 应 在 开发 环境 中 
进行 。 

《5) 系统 测试 

系统 测试 是 对 系统 进行 全 面 的 测试 ， 应 在 测试 环境 中 进行 ， 以 确保 系 
统 的 功能 和 技术 设计 满足 企业 的 业务 需求 ， 并 正常 运行 。 

系统 测试 阶段 应 包括 以 下 主要 流程 和 工作 内 容 ; 

1 ) 制定 测试 计划 ， 编 制 测试 用 例 ， 建 立 测试 环境 

项 目 组 制定 详细 的 测试 计划 ， 编 制 相应 的 测试 用 例 ， 并 根据 测试 用 例 
及 相关 的 标准 建立 测试 环境 。 测 试 内 容 要 关注 与 内 部 控制 相关 的 系统 安全 
访问 、 系 统 接口 、 数 据 输入/ 输出 和 数据 完整 性 等 关键 控制 点 ; 测试 环境 根 
据 测 试 计 划 及 相关 的 标准 建立 ， 测 试 环境 和 生产 环境 应 进行 隔离 。 测 试 计 
划 内 容 包括 : 

人 基本 要 求 。 测 试 目的 、 测 试 范 围 ; 测试 环境 , 包括 服务 器 和 客户 端 
所 需 的 硬件 、 软 件 等 ; 测试 安排 ， 包 括 测试 时 间 、 测 试 内 容 、 测 试 步 又、 
预期 测试 结果 。 

@ 可 选 要 求 。 测 试 参与 人 员 、 测 试 方法 。 

2 ) 测试 

在 测试 环境 中 ， 项 目 组 根据 需要 ， 对 系统 依次 进行 单元 测试 、 集 成 测 
试 、 压 力 测试 和 用 户 接受 测试 ， 记 录 测 试 结果 并 由 相关 测试 人 签字 确认 ， 
编制 相应 的 测试 报告 。 对 于 未 通过 测试 的 内 容 ， 项 目 组 应 查找 失败 的 原因 ， 
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并 修改 相应 程序 或 设置 ， 重 新 进行 测试 。 除 了 进行 充分 的 系统 功能 测试 ， 测 
试 应 包含 与 内 部 控制 相关 的 测试 内 容 , 如 系统 认证 和 授权 、 交 易 完整 性 及 数 
据 真实 、 完 整 性 的 有 关 功 能 。 

QD 单元 测试 是 对 系统 的 各 个 相关 模块 功能 进行 整合 测试 , 以 检查 数据 
在 不 同 功能 中 的 流通 /传递 是 否 正 确 ， 各 个 模块 功能 有 无 相互 抵触 。 

@ 集成 测试 是 针对 包含 多 个 子 系统 、 应 将 各 子 系统 结合 起 来 进行 的 
测试 。 

@ 压力 测试 是 模拟 将 来 实际 工作 中 可 能 出 现 的 瓶颈 /极限 条 件 ， 对 系 
统 进行 压力 测试 ， 测 试 系统 的 反应 情况 。 

地 用 户 接受 测试 是 关键 用 户 对 系统 进行 的 测试 , 用户 应 对 测试 结果 签 
字 确 认 。 

3 ) 提交 测试 报告 、 用 户 确认 签字 

项 目 组 撰写 测试 报告 ， 将 测试 报告 提交 给 各 相关 用 户 ， 用 户 应 在 测试 
报告 上 签字 确认 。 测 试 报告 内 容 包括 : 

Q@ 基本 要 求 。 测 试 目 标 ; 测试 结果 ,包括 测试 内 容 、 测 试 步 又、 预期 
测试 结果 、 实 际 测试 结果 ， 测 试 人 ; 测试 结果 分 析 。 

@ 可 选 要 求 。 测 试 人 员 组 成 ; 测试 方法 ; 测试 工作 的 组 织 方式 ; 测试 
工作 的 计划 安排 。 

。 项 目 组 将 测试 后 的 系统 源 代 码 交 专人 保管 。 

。 系统 测试 阶段 结束 后 应 归档 的 文档 包括 测试 计划 、 测 试用 例 、 测 试 

报告 。 

(6) 数据 移植 

新 系统 上 线 时 如 需要 将 原始 数据 移植 到 新 系统 ， 则 应 完成 以 下 主要 工 
作 内 容 : 


i 
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1 ) 制定 数据 移植 /转换 计划 

该 计划 中 除了 要 定义 数据 收集 的 格式 、 范 围 、 进 度 外 ， 还 要 考虑 系统 
接口 的 影响 ， 并 建立 数据 移植 完整 性 和 准确 性 测试 方法 及 意外 事件 处 理 
程序 。 

2 ) 数据 收集 

如 果 项 目 实施 涉及 数据 收集 ， 应 由 数据 收集 小 组 根据 数据 收集 格式 ， 
对 数据 进行 收集 ， 数 据 收 集 小 组 在 收集 数据 时 应 培训 业务 部 门 的 数据 提供 
人 员 ， 以 确保 数据 提供 人 员 了 解 和 掌握 对 数据 收集 的 各 项 规定 和 要 求 。 

3 ) 将 收集 到 的 数据 存放 于 指定 目录 下 ， 由 专人 管理 

4 ) 进行 数据 清理 

5 ) 测试 数据 移植 方法 

数据 移植 前 ， 在 测试 环境 中 对 数据 移植 方法 进行 测试 ， 书 面 记录 测试 
结果 ， 解 决 测试 中 发 现 的 问题 ， 进 行 问题 记录 并 归档 。 

6 ) 数据 导 人 并 核查 结果 

项 目 组 成 员 将 数据 导 和 系统， 并 在 导入 后 按照 事先 制定 的 数据 移植 完 
整 性 和 准确 性 测试 方法 对 系统 中 的 数据 做 进一步 的 核查 ， 确 保 导 人 数据 的 
质量 。 如 有 意外 ， 按 照 事先 制定 的 意外 事件 处 理 程序 处 理 ， 并 留 下 记录 。 
数据 移植 完成 之 后 ， 用 户 应 对 数据 移植 结果 签字 确认 。 

7 ) 试 运 行 

数据 移植 后 要 进行 适当 时 间 的 试 运行 ， 确 认 数 据 移植 的 真实 性 和 完整 
性 。 试 运行 时 间 视 具体 系统 的 规模 、 影 响 程 度 而 定 。 对 影响 较 大 的 系统 ， 
至 少 应 试 运行 三 个 完整 的 月 结 周期 。 

(7) 系统 上 线 

系统 上 线 阶段 应 包括 以 下 的 主要 流程 和 工作 内 容 : 


i 
四 
Oo 
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1 ) 上 线 前 准备 工作 

中 在 上 线 前 , 项 目 经 理 要 组 织 项 目 组 制定 系统 上 线 计划 , 包括 上 线 检 
查 清单 、 上 线 支持 人 员 、 退 回 机 制 等 ， 并 提交 《上 线 申请 表 》 

@ 系统 上 线 计 划 和 《上 线 申请 表 》 应 经 过 IT 部 门 和 业务 部 门 管理 层 
的 正式 批准 ， 并 通知 各 相关 部 门 。 

(@ 程序 保管 人 员 根 据 审批 后 的 《上 线 申请 表 》， 将 通过 测试 验收 的 最 
后 版 本 的 系统 程序 提交 系统 上 线 操 作 人 员 。 

2 ) 系统 上 线 

(D 所 有 的 上 线 准 备 工 作 做 好 之 后 , 由 项 目 建设 单位 提前 通知 用 户 系统 
上 线 时 间 ， 项 目 经 理 在 确认 上 线 系统 版 本 正确 性 后 ， 下 达 上 线 指令 。 

@ 系统 上 线 操 作 人 员 负 责 将 最 后 版 本 的 系统 程序 移植 到 生产 环境 。 

(8) 项 目 验收 和 上 线 后 评估 

1 ) 项 目 验收 

项 目 验 收 是 指 项 目 进行 到 某 一 阶段 或 项 目 结束 时 ， 项 目 组 将 其 成 果 交 
付 之 前 ， 由 各 相关 部 门 , 包括 IT 部 门 、 项 目 建设 单位 、 实 施 方 等 ， 对 项 目 
的 成 果 进 行 验收 。 项 目 验 收 情况 应 经 过 验收 各 方 的 签字 确认 。 

2 ) 上 线 后 评估 

在 项 目 建 设 完毕 投入 使 用 一 个 月 后 ， 由 项 目 建 设 单位 组 织 成 立 评估 小 
组 ， 开 展 上 线 后 评估 工作 ， 并 出 具 评 估 意 见 ， 对 于 发 现 的 问题 ， 应 提交 项 
目 建设 单位 及 时 解决 。 项 目 建设 单位 负责 上 线 后 评估 相关 文档 的 归档 。 


3. 项 目 管理 


(1) 项 目 培训 管理 
1 ) 培训 对 象 
用 户 培训 主要 是 针对 三 类 人 群 : 系统 支持 人 员 、 系 统 关键 用 户 和 一 般 
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用 户 。 

QD 系统 支持 人 员 。 主要 负责 系统 配置 维护 及 用 户 管理 , 由 软件 供应 商 
或 项 目 组 进行 培训 。 

@ 关键 用 户 。 一 般 为 业务 骨干 ,处 于 业务 流程 关键 岗位 ,熟悉 业务 流 
程 ， 由 软件 供应 商 或 项 目 组 进行 培训 。 

@@ 一 般 用 户 。 系统 上 线 后 进行 日 常 工作 的 普通 用 户 , 可 以 由 关键 用 户 
对 其 进行 培训 ， 也 可 以 由 软件 供应 商 或 项 目 组 进行 培训 。 

2 ) 培训 实施 过 程 

QD 项 目 经 理 在 项 目 启动 阶段 , 就 应 组 织 项 目 组 成 员 针 对 三 类 不 同 用 户 
制定 相应 的 培训 计划 。 

@@ 项 目 组 编写 各 类 使 用 人 员 的 培训 材料 、 使 用 手册 , 包括 各 个 模块 的 
操作 步骤 说 明 、 操 作 界 面 等 ， 并 负责 各 种 文档 的 归档 。 

(@ 对 系统 支持 人 员 、 关 键 用 户 和 一 般 用 户 分 别 组 织 培训 。 

(2) 项 目 文档 管理 

1 ) 项 目 文档 的 分 类 

项 目 文 档 分 为 系统 开发 文档 和 项 目 管理 文档 。 

QD 系统 开发 文档 包括 可 行 性 分 析 报 告 、 需 求 分 析 报 告 、 设 计 说 明 书 、 
测试 计划 、 测 试 报告 、 数 据 移植 文档 及 用 户 手册 。 

@@ 项 目 管理 文档 包括 项 目 总 体 计 划 、 项 目 会 议 纪 要 、 项 目 阶段 报告 等 
文档 。 

2 ) 用 户 手册 和 培训 材料 的 编写 

用 户 手册 和 培训 材料 的 编写 应 详细 、 实 用 ， 并 且 应 随 着 系统 的 更 新 进 
行 版 本 更 新 。 

3 ) 项 目 文档 的 保管 

在 项 目 过 程 中 ， 项 目 负 责 人 或 由 其 指派 专人 负责 项 目 文档 的 保管 ， 在 
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项 目 验 收 后 ,项 目 建设 单位 或 IT 部门 负责 项 目 文档 的 归档 。 
4 ) 开发 文档 的 保存 
开发 文档 在 系统 的 使 用 期 内 妥善 保存 ， 可 以 以 电子 或 纸 质 形式 存在 ， 
并 应 按照 项 目 规 定 的 规则 命名 。 电 子 文档 应 存放 在 项 目 约定 的 文件 服务 器 
的 文件 夹 或 存储 介质 中 。 
5 ) 项 目 文档 的 控制 
项 目 文档 应 有 版 本 控制 措施 ， 如 编写 文档 版 本 号 、 更 新 时 间 等 。 
(3) 项 目 沟 通 管理 
QD 项 目 组 应 在 项 目 开 始 时 制定 完善 的 项 目 汇报 制度 ， 明 确 沟 通 时 间 、 
频率 和 渠道 。 
他 项 目 组 在 项 目 过 程 中 应 定期 就 该 项 目 根据 生命 周期 方法 论 的 执行 
情况 向 项 目 指导 委员 会 汇报 。 
(4) 项 目 变更 管理 
QW 项 目 进 程 中 , 项 目 组 发 现 变更 需求 后 , 应 填写 变更 申请 单 ， 上 报 项 
目 经 理 。 
@ 项 目 经 理 审查 分 析 变 更 对 项 目的 影响 : 
。 属于 项 目 经 理 职责 范围 内 ， 由 项 目 经 理 决定 是 否 变 更 。 
。 超出 项 目 经 理 职 责 范 围 的 变更 请 求 ， 项 目 经 理应 上 报 项 目 管理 办 公 
室 负责 人 ， 确 定 是 否 变更 。 如 同意 变更 ， 项 目 管理 办 公 室 负责 人 要 
审批 签字 ， 下 达 项 目 经 理 执行 
“生生 日 于 管理 办 会 室 的 职权 范围 应 上 报 项 目 指导 委员 
， 由 委员 会 讨论 、 决 策 。 委 员 会 领导 签字 审批 后 下 达 项 目 管理 办 
公 宰 ， 由 项 目 生理 办 公 室 下 达 项 目 经 理 执行 。 项 目 组 应 对 变更 进行 
备案 。 
(@ 项 目 组 执行 变更 。 
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@ 实施 变更 后 ， 项 目 组 要 更 新 变更 过 程 文档 并 负责 归档 。 
《5) 项 目 问题 管理 
QD 项 目 进程 中 发 现 问题 后 , 应 上 报 项 目 经 理 , 由 项 目 经 理 组 织 设计 解 
决 方案 。 
@) 项 目 经 理 与 项 目 组 成 员 沟通 后 实施 解决 方案 : 
。 如 问题 不 能 在 项 目 组 范围 内 解决 ， 项 目 经 理应 把 问题 上 报到 项 目 管 
理 办 公 室 ， 由 该 办 公 室 负责 分 析 问 题 并 设计 解决 方案 ， 与 项 目 经 理 
沟通 后 由 项 目 经 理 执行 ， 项 目 经 理应 对 问题 进行 跟踪 记录 ， 并 负责 
问题 记录 文档 的 归档 。 
。 如 项 目 管理 办 公 室 也 无 法 解决 问题 , 办 公 室 应 上 报 项 目 指导 委员 会 ， 
由 委员 会 讨论 做 出 决策 ， 然 后 通知 项 目 管理 办 公 室 ， 由 其 执行 ， 项 
目 管 理 办 公 室 应 对 问题 进行 跟踪 记录 , 并 负责 问题 记录 文档 的 归档 。 
(6) 环境 隔离 
@ 在 项 目的 执行 过 程 中 ， 应 确保 开发 、 测 试 和 生产 环境 的 隔离 。 
@) 项 目 经 理应 对 项 目 执行 过 程 中 是 否 符合 环境 隔离 要 求 进行 审阅 ,并 
将 审阅 结果 反映 在 项 目 阶段 报告 中 。 


4.3.4 ”系统 变更 管理 





1. 变更 管理 

(1) 系统 变更 的 定义 

系统 变更 包括 对 应 用 系统 的 升级 、 修 改 、 补 丁 安装 等 改变 系统 功能 的 
活动 ， 以 及 对 操作 系统 升级 和 补丁 安装 、 数 据 库 / 操 作 系 统 环境 配置 变化 、 
防火 墙 配置 修改 等 。 
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(2) 变更 申请 的 跟踪 

IT 部 门 负责 人 应 指定 专门 人 员 每 月 检查 所 有 系统 变更 申请 的 执行 情 
况 ， 填 写 《变更 统计 表 》 并 提交 给 IT 部 门 负 责 人 审阅 ， 确 保 审批 过 的 变 
更 被 及 时 执行 , 并 及 时 了 解 变更 进度 。IT 部 门 负责 《变更 统计 表 》 的 归档 。 

《3) 变更 的 优先 级 别 

根据 变更 对 业务 的 影响 程度 ， 在 提出 变更 申请 时 应 定义 该 变更 活动 的 
优先 级 ,分 为 以 下 三 级 : 

Q@ 高 。 如 果 变 更 不 能 尽快 完成 , 将 会 对 业务 产生 严重 影响 , 并 且 没 有 
替代 措施 可 以 降低 该 影响 。 

@ 中 。 如 果 变 更 不 能 尽快 完成 , 将 会 对 业务 产生 一 定 影响 , 但 受到 影 
响 的 业务 重要 性 不 高 或 有 临时 替代 措施 可 以 降低 影响 。 

@ 低 。 变 更 对 业务 影响 不 大 ， 或 有 替代 措施 可 以 基本 消除 该 影响 。 

(4) 未 授权 变更 活动 的 管理 

禁止 一 切 在 未 经 授权 的 情况 下 对 系统 进行 变更 的 行为 ，IT 部 门 对 生产 
环境 中 未 经 授权 的 变更 进行 监测 。 


2. 日 常 变 更 流程 

系统 变更 包括 对 应 用 系统 的 升级 、 人 修改、 补丁 安 装 等 改变 系统 功能 的 
活动 ， 以 及 对 操作 系统 升级 和 补丁 安装 、 数 据 库 /操作 系统 环境 配置 变化 、 
防火 墙 配置 修改 等 。 

应 用 系统 的 升级 、 修 改 、 补 丁 安装 等 变更 活动 由 应 用 系统 负责 人 进行 
审批 ; 对 操作 系统 升级 和 补丁 安装 、 数 据 库 / 操 作 系 统 环 境 配置 变化 、 防 火 
墙 配置 修改 等 变更 活动 由 IT 部 门 负责 人 进行 审批 。 

(1) 变更 申请 与 受理 

Q@ 用 户 申 请 变更 时 应 填写 《变更 申请 表 》 确定 变更 类 型 ， 说 明 变 更 
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原因 、 内 容 变更 预期 时 间 等 内 容 后 ， 将 《变更 申请 表 》 提 交 主 管 领导 。 

四 主管 领导 审批 《变更 申请 表 》 后 ,提交 相应 的 应 用 系统 负责 人 (或 
IT 部 门 负责 人 )。 

(3) 应 用 系统 负责 人 (或 IT 部 门 负责 人 ) 审批 《变更 申请 表 》 后 ， 确 
定 变 更 的 优先 级 ， 判 断 是 否 需 要 测试 ， 并 负责 归档 。 

(2) 变更 实施 

中 负责 变更 实施 的 IT 人 员 填 写 《 变 更 实施 表 》 相 关内 容 ， 并 判断 是 
否 需 要 进行 源 代 码 修改 。 如 果 不 需要 ， 进 行 下 一 步 操作 ; 如 果 需 要 ， 填 写 
《 源 代码 变更 交接 表 》， 在 应 用 系统 负责 人 批准 后 ， 从 系统 源 代码 保管 人 处 
取得 所 需 的 系统 源 代码 。 

人 负责 变更 实施 的 IT 人 员 在 《变更 实施 表 》 中 提出 解决 方案 ， 内 容 
包括 实施 步骤 、 回 退 机 制 ， 并 在 实施 完成 后 记录 实施 结果 。 

(@) 负责 变更 实施 的 IT 人 员 建 立 与 生产 环境 相隔 离 的 开发 环境 ， 并 在 
其 中 进行 变更 实施 。 

(3) 变更 测试 

中 如 果 需 要 测试 ， 负 责 变更 测试 的 IT 人 员 在 《变更 实施 表 》 中 提出 
测试 计划 (包括 测试 内 容 、 步 又 等 )， 编 制 相 应 的 测试 文档 ， 并 根据 测试 文 
档 及 相关 的 标准 建立 测试 环境 。 测 试 环境 应 与 生产 环境 隔离 。 

多 负责 变更 测试 的 IT 人 员 对 变更 的 系统 进行 相关 测试 ， 记 录 测 试 结 
果 ， 并 签字 确认 。 

@) 通过 测试 后 , 将 最 后 版 本 的 程序 交 专 人 保管 ,双方 签字 确认 ,防止 
任何 未 授权 的 更 改 。 

(4) 变更 上 线 

QD 变更 申请 人 的 主管 领导 、 应 用 系统 负责 人 (或 IT 部 门 负责 人 ) 应 
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共同 审核 是 否 可 以 上 线 。 

@ 负责 变更 实施 的 IT 人 员 提 前 通知 用 户 变 更 的 上 线 时 间 。 

@@ 源 代码 保管 人 使 用 正确 的 版 本 进行 系统 上 线 。 

(5) 变更 文档 管理 与 培训 

QD 系统 、 用 户 及 控制 文档 应 及 时 更 新 。 在 变更 过 程 中 ， 上 述 文档 由 该 
变更 活动 的 负责 人 或 由 其 指派 专人 负责 保管 ， 在 变更 结束 后 ， 由 应 用 系统 
负责 人 《或 并 部 门 负责 人 ) 指定 专人 负责 归档 。 

外 如 果 系 统 的 变更 导致 用 户 操作 的 改变 , 应 对 用 户 进行 培训 , 确保 业 
务 活动 在 系统 变更 后 不 受 影响 。 


3. 紧急 变更 流程 


紧急 变更 是 指 由 于 突 发 事件 且 情 况 紧急 ， 如 果 不 立 即 采取 措施 ， 按 照 
正常 变更 管理 流程 ， ee 

当 发 生 紧 急 变 更 时 ， 相 关 人 员 应 立即 通知 其 主管 领导 、 应 用 系统 负责 
人 或 IT 部门 负责 人 )， 在 获得 批准 后 ， 各部 采取 杰克 汪 放 。 但 事后 应 
补 填 《 变 更 申请 表 》《 变 更 实施 表 》 等 相关 表单 。 


4.3.5 _ 信息 系 统 日 常 运作 





1. 机 房 环境 控制 

(1) 机 房 设 址 及 建筑 结构 方面 的 基本 要 求 

计算 机 机 房 不 同 于 其 他 办 公房 间 ， 技 术 要 求 较 高 、 投 资 较 大 。 因 此 ， 
在 建立 计算 机 机 房 时 ， 应 依据 计算 机 系统 的 规模 、 用 途 、 任 务 、 性 质 的 不 
同 而 设置 。 

计算 机 机 房 场地 的 环境 选择 和 建筑 设计 应 按 国家 相关 规范 的 要 求 执行 。 
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《2) 机 房 环境 控制 设备 的 要 求 

机 房 环境 控制 的 具体 要 求 如 下 : 

1 ) 布线 

QD 计算 机 机 房 应 合理 布线 。 电 源 可 采用 地 下 电缆 进 线 , 并 采取 避雷 措 
施 ;， 当 采用 架空 进 线 时 ， 应 在 低压 架空 电源 进 线 处 或 专用 电力 变压器 低压 
配 电 母 线 处 装 设 低压 避雷 器 。 

@ 电源 线 应 尽 可 能 远离 计算 机 信号 线 ， 并 避免 并 排 熬 设 。 

2 ) 温度 及 湿度 

QD 机 房 内 应 配备 独立 电源 空调 。 

@ 机 房 内 应 配备 温度 、 湿 度 计 , 机 房 的 温度 、 湿 度 应 保证 内 部 设备 正 
常 运行 。 

3 ) 消防 报警 

QD 机 房 应 配备 消防 设施 ， 并 按 消防 部 门 的 要 求 ， 定 期 检查 其 有 效 性 。 
消防 设施 应 尽量 放置 在 过 道 等 明显 的 位 置 。 

@) 在 机 房 内 应 设置 烟雾 探测 器 。 

4 ) 防 静 电 及 防 雷 接地 

QD 机 房 应 使 用 防 静电 地 板 。 

@ 机 房 应 按照 国家 规范 ， 安 装 防 雷 接地 设施 。 

5 ) 不 间断 电源 系统 

QD 机 房 内 的 关键 设备 应 采用 不 间断 电源 系统 ( UPS ) 供电 。 

@ UPS 设备 及 其 电池 组 应 按 产 品 说 明 书 的 要 求 定期 进行 检查 和 维护 。 


2. 系统 日 常 运作 监控 


QD 机 房 负 责 人 应 指定 人 员 每 天 对 设备 运行 状况 进行 巡 检 ， 检 查 内 容 
包括 设备 电源 、 风 扇 、 指 示 灯 、 报 警 信息 、 机 房 温度 及 湿度 等 ， 检 查 人 员 
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填写 《设备 巡 检 记录 表 》 签字 确认 并 负责 归档 。 

@ 应 用 系统 管理 员 应 每 周 检查 应 用 系统 日 志 ， 审 查 是 否 有 错误 信息 
或 异常 登录 信息 等 ， 填 写 《 应 用 系统 日 志 检查 记录 表 》， 签 字 确 认 并 负责 
归档 。 

二 网 络 管理 员 应 每 周 检查 防火 墙 日 志 , 审查 是 否 有 登录 异常 信息 、 配 
置 更 改 、 功 能 停止 、 会 话 连接 异常 等 ,填写 《防火 墙 日 志 检查 记录 表 》 签 
字 确 认 并 负责 归档 。 


3 批 处 理 作 业 调 度 管理 


《1) 批 处 理 作业 调度 管理 流程 

QD 应 用 系统 管理 员 应 根据 业务 需求 ， 编 制 《 批 处 理 作业 清单 》 及 《 批 
处 理 作 业 详 细 说 明 书 六 

色 《 批 处 理 作业 详细 说 明 书 》 由 应 用 系统 负责 人 基于 业务 需求 进行 审 
核 ， 经 批准 后 遵照 执行 。 应 用 系统 管理 员 负责 《 批 处 理 作 业 清单 》 及 《 批 
处 理 作业 详细 说 明 书 》 的 归档 。 

(2) 批 处 理 作 业 变 更 管理 

当 需 要 进行 批 处 理 作 业 变更 时 ， 由 应 用 系统 管理 员 重新 编写 《 批 处 理 
作业 详细 说 明 书 》 并 更 新 《 批 处 理 作业 清单 》 提交 给 应 用 系统 负责 人 进 
行 审核 ， 经 批准 后 遵照 执行 。 应 用 系统 管理 员 负 责 《 批 处 理 作 业 清 单 》 及 
《 批 处 理 作业 详细 说 明 书 》 的 归档 。 

《3) 批 处 理 作 业 的 监控 

应 用 系统 管理 员 根据 具体 批 处 理 作业 的 检查 周期 ， 定 期 检查 批 处 理 作 
业 的 执行 情况 ， 填 写 《 批 处 理 作业 记录 表 》 签字 确认 并 负责 归档 。 
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4. 备份 与 恢复 


QD 应 用 系统 负责 人 应 指定 人 员 根 据 应 用 系统 的 重要 程度 ， 制 定 备份 
和 恢复 策略 ， 填 写 《 备 份 作业 清单 》 及 《备份 作业 详细 说 明 书 》 并 经 过 
应 用 系统 负责 人 审批 。 应 用 系统 负责 人 每 年 审阅 《备份 作业 清单 》 及 《 备 
份 作业 详细 说 明 书 》 如果 其 已 经 不 能 满足 业务 需求 ， 应 指定 人 员 进 行 调 
整 。 应 用 系统 负责 人 负责 《备份 作业 清单 》 及 《备份 作业 详细 说 明 书 》 的 
归档 。 

备份 和 恢复 策略 主要 包括 备份 数据 内 容 、 备 份 方 式 、 备 份 频率 、 操 
作 方 法 、 备 份 及 恢复 操作 步骤 、 备 份 介质 存放 地 点 等 。 

@ 应 用 系统 负责 人 应 指定 人 员 依 据 《 备 份 作业 清单 》 及 《备份 作业 详 
细 说 明 书 》 执行 备份 操作 ， 填 写 《 备 份 记录 表 》， 离 线 备份 存储 介质 应 进 
行 适当 的 安全 保护 。 

@ 备份 恢复 测试 。 应 用 系统 负责 人 指定 人 员 每 年 ， 或 备份 方法 、 步 又 
或 环境 发 生 重大 变化 时 ， 进 行 恢复 性 测试 ， 以 确保 数据 能 够 准确 及 完整 地 
恢复 ， 测 试 人 员 应 将 测试 过 程 及 结果 记录 在 《备份 恢复 测试 记录 表 》 中 ， 
应 用 系统 负责 人 签字 确认 并 负责 归档 。 

@ 备份 恢复 : 

。 当 由 于 业务 需要 或 系统 故障 等 情况 需要 进行 备份 恢复 时 ， 业 务 用 户 

填写 《备份 恢复 管理 表 》, 说 明 备 份 恢复 原因 , 提交 其 主管 领导 审批 。 
。 业 务 用 户主 管 领导 审批 通过 后 ， 提 交 应 用 系统 负责 人 ， 由 应 用 系统 
负责 人 指定 人 员 制 定 详 细 的 恢复 步骤 ， 并 填写 《备份 恢复 管理 表 》 
中 的 相关 内 容 ， 由 应 用 系统 负责 人 审批 通过 后 执行 。 

。 业务 用 户主 管 领导 对 备份 恢复 的 结果 进行 确认 签字 。 

。 应 用 系统 负责 人 负责 《备份 恢复 管理 表 》 的 归档 。 
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5， 问 题 管理 


(1) 问题 管理 流程 

@ 建立 问题 管理 机 制 , 由 专职 或 兼职 的 帮助 热线 支持 人 员 受 理 各 类 信 
息 系统 及 其 相关 设备 发 生 的 问题 ， 负 责问 题 的 记录 与 解答 。 帮 助 热线 支持 
人 员 可 为 信息 系统 技术 人 员 ( 如 应 用 系统 管理 员 )， 也 可 为 其 他 员工 。 

@ IT 部 门将 各 帮助 热线 支持 人 员 的 名 单 和 联系 电话 及 其 所 负责 处 理 
的 问题 类 型 登记 在 《信息 系统 故障 处 理 帮助 热线 支持 人 员 联系 表 》 中 ， 并 
发 布 给 所 有 员工 。 联 系 表 上 的 帮助 热线 支持 人 员 发 生变 动 时 ，IT 部 门 应 及 
时 更 新 。 

@ 发 生 问题 时 ， 用 户 在 《信息 系统 故障 处 理 帮助 热线 支持 人 员 联 系 
表 》 中 找到 负责 处 理 相应 问题 的 帮助 热线 支持 人 员 ， 通 过 邮件 、 电 话 或 口 
头 提交 问题 。 

@ 帮助 热线 支持 人 员 接 到 问题 报告 时 ， 应 及 时 在 《问题 记录 日 志 表 》 
中 进行 记录 ， 记 录 内 容 包括 汇报 人 、 所 属 部 门 、 问 题 类 型 和 问题 描述 等 。 

@ 如 果 帮 助 热线 支持 人 员 由 信息 系统 技术 人 员 兼 任 , 可 根据 问题 类 型 
直接 解决 该 问题 ， 否 则 应 将 《问题 记录 日 志 表 》 提 交 给 相关 技术 支持 人 员 
对 问题 进行 处 理 。 

。 相关 技术 支持 人 员 解 决 问题 后 ， 在 《问题 记录 日 志 表 》 中 注 明 问 是 

原因 、 解 决 方法 和 解决 时 间 ， 并 签字 确认 ， 将 该 表 返 还 帮助 热线 支 
持 人 员 ， 帮 助 热线 支持 人 员 确认 问题 解决 后 ， 在 该 表 上 签字 后 并 负 
责 归档 。 se 


。 帮助 热线 支持 人 员 应 定期 分 类 汇总 当月 发 生 的 问题 ， 形 成 书面 罕 





报告 《问题 分 类 汇总 月 报表 》 向 本 部 门 主管 领导 汇报 ,并 负责 归 和 Tt 
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(2) 问题 重要 程度 分 级 

按照 问题 的 影响 程度 ，IT 问题 可 分 为 高 、 中 、 低 三 个 级 别 。 

@ 高 。 影 响 到 大 多 数 用 户 工作 的 问题 ,如 系统 骨 演 、 网 络 竣 痪 和 全 局 
性 安全 问题 ;虽然 影响 到 部 分 用 户 ， 但 是 严重 影响 财务 部 门 进行 账 务 处 理 
的 问题 ， 如 财务 管理 信息 系统 某 个 子 模块 发 生 问题 。 

名 中 。 影响 到 部 分 用 户 工作 的 问题 , 如 库存 管理 系统 发 生 故 障 影响 到 
物资 管理 部 门 的 工作 ， 或 发 生 在 部 分 用 户 的 系统 非法 人 侵 和 病毒 攻击 等 。 

@ 低 。 影响 到 个 别 用 户 工作 的 问题 , 如 个 人 计算 机 硬件 故障 和 办 公 软 
件 安装 等 。 

(3) 问题 汇报 

根据 问题 的 重要 程度 上 报 至 相关 部 门 负 责 人 ， 进 行 汇报 。 

@ 高 级 别 问题 。 高 级 别 问题 应 在 问题 确认 后 一 天 内 ， 由 相关 帮助 热 _ 
线 支 持 人 员 以 书面 形式 向 本 部 门 主管 领导 汇报 , 同时 抄 报 本 单位 信息 安全 管 
理 负责 人 , 并 由 信息 安全 管理 负责 人 以 书面 形式 上 报 至 上 级 单位 信息 安全 管 
理 负责 人 。 上 级 单位 信息 安全 管理 负责 人 负责 高 级 别 问题 书面 汇报 的 归档 。 

@ 中 级 别 问题 。 中 级 别 问题 确认 后 , 相关 帮助 热线 支持 人 员 应 在 五 个 
工作 日 内 以 书面 形式 向 本 部 门 主管 领导 汇报 ， 同 时 抄 报 本 单位 信息 安全 管 
理 负责 人 。 本 单位 信息 安全 管理 负责 人 负责 中 级 别 问题 书面 汇报 的 归档 。 

@ 低级 别 问题 。 相关 帮助 热线 支持 人 员 每 月 通过 《问题 分 类 汇总 月 报 
表 》 向 本 部 门 主管 领导 提供 包括 低级 别 问题 在 内 的 情况 汇报 。 


4.3.6 ”最 终 用 户 操作 





.最 终 用 户 计算 机 操作 安全 制度 
Q@ 员工 不 应 采取 不 正当 手段 获取 商业 秘密 ， 更 不 应 未 经 本 公司 许可 ， 
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披露 或 者 泄露 本 公司 的 商业 秘密 。 

@) 员工 对 所 使 用 的 信息 和 软 硬 件 负 有 安全 责任 。 员 工 有 责任 及 时 发 现 
并 上 报 发 生 的 信息 安全 事件 ， 并 应 在 信息 安全 事件 的 处 理 过 程 中 协助 相关 
人 员 的 调查 、 处 理工 作 。 

@) 员工 有 责任 管理 好 各 种 用 于 身份 认证 的 账号 、 口 令 、 门 卡 等 , 不 应 
使 用 他 人 账号 ， 也 不 应 与 他 人 共享 。 口 令 的 设置 和 使 用 应 符合 口令 规则 。 


2. 电子 表格 管理 


(1) 电子 表格 控制 策略 
@ 与 财务 报表 相关 的 电子 表格 纳入 电子 表格 管理 范围 , 依据 其 用 途 和 
复杂 程度 ， 分 为 重要 电子 表格 和 一 般 电子 表格 。 
。 重 要 电子 表格 。 作 为 财务 报表 或 财务 账户 的 直接 或 间接 数据 来 源 ， 
通常 包含 比较 复杂 的 运算 或 多 重 表格 关联 。 
。 一 般 电 子 表格 。 不 影响 财务 报表 或 财务 账户 ， 但 是 用 于 评估 财务 数 
据 的 真实 性 、 完 整 性 和 准确 性 。 
@ 各 业务 部 门 在 《电子 表格 登记 表 》 中 登记 纳入 管理 范围 的 与 财务 报 
表 相关 的 电子 表格 。《 电 子 表格 登记 表 》 应 包含 电子 表格 名 称 、 版本、 负责 
人 、 用 户 、 开 发 人 ， 以 及 电子 表格 内 容 概要 和 影响 的 财务 科目 ， 并 在 纳入 
管理 范围 的 电子 表格 开发 或 变更 完成 后 ， 由 电子 表格 负责 人 及 时 更 新 《 电 
子 表格 登记 表 》 
@ 对 于 纳入 管理 范围 的 电子 表格 , 要 根据 其 分 类 , 建立 相应 的 控制 级 
别 。 在 安全 、 版 本 、 变 更 、 开 发 、 备 份 和 存档 等 方面 ， 重 要 电子 表格 应 实 
施 严格 的 控制 措施 。 即 使 是 一 般 电 子 表格 ， 也 应 对 安全 、 版 本 和 变更 进行 
控制 。 


js 
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(2) 安全 控制 
重要 和 一 般 电 子 表格 的 日 常 使 用 应 遵循 以 下 原则 。 
Q 授权 。 用户 使 用 电子 表格 应 得 到 相应 的 批准 审核 , 具体 可 分 为 两 类 
情况 : 
。 新 员工 到 职 时 ， 其 主管 领导 根据 岗位 职责 ， 将 其 工作 所 需 的 电子 表 
格 授权 给 该 员工 。 
。 如 果 因 工作 原因 ， 需 要 使 用 到 职 时 获得 授权 以 外 的 电子 表格 ， 应 向 
主管 领导 提交 《电子 表格 使 用 申请 表 》 主管 领导 依据 工作 需要 审批 
《电子 表格 使 用 申请 表 》 审批 通过 后 ， 该 员工 才能 使 用 。 主 管 领导 
负责 《电子 表格 使 用 申请 表 》 的 归档 。 
@ 存储 路 径 保护 。 电 子 表格 负责 人 应 将 电子 表格 存放 在 文件 服务 器 受 
到 保护 的 路 径 目 录 下， 并 对 电子 表格 存放 目录 权限 进行 控制 。 
@@ 文件 访问 控制 。 电 子 表格 负责 人 应 确保 电子 表格 已 设 定 口令 保护 ， 
只 有 得 到 授权 的 用 户 才 能 使 用 该 电子 表格 。 
@@ 文件 内 容 保 护 。 电子 表格 负责 人 应 采取 必要 措施 , 确保 只 有 经 授权 
的 人 员 才能 更 改 电子 表格 中 的 预 设 公 式 和 数值 等 内 容 。 
(3) 版 本 控制 
中 重要 和 一 般 电 子 表格 应 遵循 命名 规则 , 电子 表格 模板 文件 的 文件 名 
要 体现 版 本 号 ， 电 子 表格 数据 文件 的 文件 名 要 体现 最 后 保存 日 期 。 
@ 重要 和 一 般 电 子 表格 的 版 本 管理 由 电子 表格 负责 人 负责 ， 电 子 表 
格 进行 变更 后 ， 电 子 表格 负责 人 要 通过 电子 邮件 等 方式 ， 通 知 该 电子 表格 
用 户 及 时 使 用 最 新 版 本 的 电子 表格 。 
(4) 变更 管理 
重要 和 一 般 电 子 表格 的 变更 应 严格 遵循 电子 表格 变更 管理 的 规定 ， 包 
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括 申请 、 授 权 、 测 试 和 批准 的 完整 过 程 。 电 子 表格 负责 人 负责 该 过 程 文档 
记录 的 归档 。 

QD 申请 。 当 需要 进行 电子 表格 变更 时 , 用 户 应 填写 《电子 表格 变更 申 
请 表 》 说 明 其 变更 申请 和 变更 原因 等 内 容 。 

@ 授权 。 电 子 表格 负责 人 依据 业务 需要 批准 《电子 表格 变更 申请 表 》 
后 ， 开 发 人 员 才 有 权 对 电子 表格 进行 变更 。 

@ 变更 开发 与 测试 。 开 发 人 员 根据 《 电 子 表格 变更 申请 表 》 进 行 变更 
开发 ， 电 子 表格 的 变更 文档 要 说 明 该 电子 表格 的 变更 设计 细节 ， 如 电子 表 
格 中 公式 的 设 定 方法 ， 同 时 编写 或 更 新 相应 的 用 户 操作 说 明 。 变 更 开发 后 
应 进行 测试 ， 测 试 结果 要 经 用 户 签字 确认 。 

@ 批准 。 测 试 完成 后 , 电子 表格 负责 人 要 对 测试 结果 进行 审阅 并 签字 
确认 ， 之 后 ,将 经 过 变更 的 电子 表格 重新 投入 使 用 ， 同 时 更 新 《电子 表 
格 登 记 表 》 

(5) 开发 管理 

重要 电子 表格 的 开发 应 严格 遵循 电子 表格 开发 管理 的 规定 , 包括 申请 、 
授权 、 测 试 和 批准 的 完整 过 程 。 电 子 表格 负责 人 负责 该 过 程 文档 记录 的 
归档 。 

QD 申请 。 当 需要 进行 电子 表格 开发 时 , 用户 应 填写 《电子 表格 开发 申 
请 表 》 说 明 其 开发 申请 和 开发 原因 等 内 容 。 

@ 授权 。 业 务 部 门 主管 领导 依据 业务 需要 批准 《电子 表格 开发 申请 表 》 
后 ， 开 发 人 员 才 有 权 对 电子 表格 进行 开发 。 

(@ 开发 与 测试 。 开 发 人 员 根 据 《 电 子 表格 开发 申请 表 》 进行 开发 电 
子 表格 的 开发 文档 要 说 明 该 电子 表格 的 设计 细节 ， 如 电子 表格 中 公式 的 设 
定 方法 ， 同 时 编写 相应 的 用 户 操作 说 明 。 对 重要 电子 表格 进行 开发 后 ， 应 
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进行 测试 ， 测 试 结果 要 经 用 户 签字 确认 。 

@@ 批准 。 测试 完 成 后 ,指定 电子 表格 负责 人 ， 由 其 审阅 测试 结果 并 签 
字 确 认 , 之 后 , 将 开发 的 电子 表格 投入 使 用 , 同时 更 新 《电子 表格 登记 表 》 

(6) 备份 管理 

重要 电子 表格 应 定期 备份 ， 确 保 数 据 的 完整 性 与 准确 性 。 重 要 电子 表 
格 的 备份 分 为 两 类 : 

QD 电子 表格 模板 的 备份 。 电子 表格 模板 的 备份 由 电子 表格 负责 人 指派 
相关 人 员 负 责 ， 存 放 在 文件 服务 器 指定 的 文件 夹 中 。 

@) 电子 表格 数据 的 备份 。 电 子 表格 的 数据 备份 由 用 户 各 自 进行 , 根据 
使 用 的 频率 决定 备份 的 周期 。 

《7) 存档 管理 

电子 表格 负责 人 应 指定 相关 人 员 ， 每 年 对 重要 电子 表格 进行 存档 ， 将 
其 存 人 独立 的 存储 介质 ， 并 设置 为 只 读 模 式 。 


“业务 层面 内 部 控制 建设 





4.4.1 ”业务 流程 梳理 





业务 流程 梳理 ， 就 是 将 企业 各 项 业务 活动 、 相 关 要 素 及 其 关联 性 以 业 
务 流程 的 形式 反映 出 来 的 活动 。 它 的 基本 内 涵 有 以 下 几 个 方面 : 

@ 业务 流程 梳理 的 内 容 是 具有 关联 性 的 企业 各 项 业务 活动 ， 凡 是 纳 
人 一 个 业务 流程 的 业务 活动 均 具 有 内 在 的 关联 性 ， 这 些 活 动 可 以 是 某 一 部 
门 内 部 的 ， 也 可 以 是 跨 部 门 的 。 
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@ 业务 流程 梳理 的 形式 一 般 采 取 访 谈 的 形式 , 即 由 专业 流程 管理 人 员 
对 实际 岗位 操作 人 员 进行 访谈 ， 了 解 流程 的 基本 内 容 ， 经 过 整理 和 反复 确 
认 ， 形 成 相对 固化 的 业务 流程 。 

(@ 业务 流程 梳理 的 结果 是 形成 一 整套 固化 的 业务 流程 体系 。 

第 3 章 已 经 基本 识别 出 了 与 财务 报告 相关 的 业务 流程 体系 。 


2. 业务 流程 梳理 的 意义 


(1》 是 规范 工作 秩序 的 前 提 

可 以 将 各 项 业务 活动 与 岗位 设置 、 岗 位 职责 、 工 作 制 度 等 诸 因素 结合 
起 来 , 形成 了 一 整套 有 着 内 在 有 机 联系 的 工作 程序 : 为 什么 设置 这 个 岗位 ， 
这 个 岗位 应 该 从 事 哪 些 工 作 ， 依 据 的 制度 是 什么 ， 形 成 哪些 证 据 等 ， 都 一 
目 了 然 、 非 常 清楚 ， 有 利于 规范 工作 秩序 。 

《2) 是 识别 风险 的 前 提 

风险 存在 于 企业 经 营 活动 的 各 个 方面 ， 但 是 如 果 离 开 了 业务 流程 ， 风 
险 将 无 法 捕 所， 也 就 无 法 控制 。 概 括 地 说 ， 风 险 存在 于 具体 的 业务 流程 当 
中 ， 业 务 流程 是 识别 风险 的 具体 载体 。 我 们 可 以 顺 着 业务 流程 的 脉络 梳理 
风险 ,设置 控制 措施 。 

(3) 分 析 控 制 措施 及 分 析 风 险 管理 水 平 的 前 提 

对 于 风险 的 管理 和 控制 要 依托 流程 梳理 来 完成 。 分 析 控 制 措施 及 分 析 
风险 管理 水 平 首先 要 看 流程 梳理 的 水 平 ， 如 采 我 们 梳理 出 来 的 流程 无 法 实 
现 对 风险 的 有 效 控制 和 管理 ， 说 明 我 们 的 流程 梳理 工作 需要 进一步 改进 和 
完善 。 因 此 我 们 分 析 一 家 企业 对 于 风险 的 控制 措施 是 否 完善 ， 对 于 风险 的 
管理 到 底 有 多 高 的 水 平 ， 很 重要 的 一 个 方面 是 要 看 它 的 流程 梳理 工作 是 否 
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《4) 是 进行 流程 管理 、 内 部 控制 建设 及 ERP 建设 的 前 提 
毫 无 疑问 ， 流 程 梳理 及 梳理 工作 的 成 果 将 成 为 流程 管理 的 主要 内 容 ， 
是 做 好 企业 内 部 控制 建设 的 前 担 ， 也 为 即将 要 上 的 ERP 奠定 基础 。 


3. 业务 流程 梳理 内 容 


业务 流程 梳理 的 内 容 就 是 对 企 事业 单位 主要 流程 中 的 末 级 流程 ， 从 始 
点 到 终点 ， 理 清 发 生 在 实际 业务 中 的 步 又 节点 ， 执 行 的 部 门 岗位 ， 流 转 的 
文件 及 记录 表单 ， 风 险 可 能 产生 的 环节 ， 存 在 的 控制 ， 对 该 业务 起 到 规范 
性 要 求 的 文件 及 规章 制度 等 。 

业务 流程 梳理 贯穿 风险 控制 分 析 的 全 过 程 ， 通 过 不 断 梳理 ， 完 成 对 流 
程 的 描述 和 风险 控制 矩阵 的 编制 ， 并 不 断 使 之 完善 。 


4. 业务 流程 梳理 程序 及 方法 


(1) 确认 部 门 、 岗 位 名 称 

流程 梳理 涉及 部 门 、 岗 位 的 名 称 ， 确 保 同 一 部 门 、 岗 位 名 称 在 不 同 流 
程 中 使 用 的 一 致 性 ， 并 与 实际 一 致 。 

(2) 业务 流程 梳理 的 步骤 

第 一 步 ” 针 对 要 梳理 的 业务 流程 ， 明 确 该 流程 的 起 点 和 终点 ， 分 别 向 
该 业务 流程 涉及 的 岗位 人 员 进 行 访谈 ， 主 要 了 解 什么 岗位 在 什么 情况 下 做 
了 什么 并 形成 哪些 文档 或 表格 等 ， 详 细 掌握 业务 处 理 过 程 并 进行 适当 的 记 
录 ， 进 行 流程 草图 初步 绘制 。 

第 二 步 ”根据 访谈 掌握 的 情况 ， 详 细 记 录 每 个 步骤 业务 活动 及 对 应 的 
执行 部 门 、 执 行 岗位 。 

第 三 步 ” 指 定 每 个 步骤 所 对 应 的 实施 证 据 。 
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第 四 步 ” 将 该 流程 对 应 的 风险 标注 到 每 个 相关 的 流程 步 双 上， 如 果 适 
用 风险 无 法 进行 标注 ， 说 明 流程 梳理 不 完全 ， 应 增加 相应 的 流程 步骤 。 

第 五 步 ” 对 存在 风险 的 流程 步骤 标注 控制 点 。 

第 六 步 ”在 分 支流 程 “流向 ”一 栏 中 记录 流程 的 前 后 逻辑 关系 ,如果 
业务 流程 复杂 ， 不 能 清楚 反映 各 流程 步 又 之 间 的 逻辑 关系 ， 可 附 草图 以 说 
明 流 程 步骤 的 前 后 关系 。 

流程 梳理 是 流程 描述 的 一 个 基本 内 容 也 是 进行 流程 描述 的 前 提 ， 流 程 
梳理 质量 的 高 低 直 接 影响 流程 描述 的 质量 ， 并 且 对 于 风险 的 防范 和 控制 措 
施 的 实施 具有 重要 的 意义 。 


4.4.2 ”业务 流程 描述 





1. 业务 流程 描述 的 概念 及 内涵 


业务 流程 描述 遵循 业务 运行 实际 ,结合 风险 控制 要 求 ， 描 述 业 务工 作 
步 又 ， 实 现 业 务 管理 程序 化 的 过 程 。 流 程 描述 的 对 象 是 基本 业务 流程 中 的 
末 级 流程 。 

它 的 基本 内 涵 有 以 下 几 个 方面 : 

一 是 流程 描述 要 采取 某 种 特定 的 方法 ， 如 文本 法 、 流 程 图 法 。 这 是 业 
务 流程 表象 化 的 方式 ， 即 把 隐 含 在 企业 内 部 的 某 一 互 有 关联 的 业务 活动 以 
更 直观 的 方式 表达 出 来 。 

二 是 流程 描述 要 遵循 一 定 的 规范 。 流 程 描述 不 能 人 为 地 按照 主观 意愿 
来 表述 ， 而 应 该 在 专家 的 指导 下 ， 在 科学 地 进行 业务 流程 梳理 的 前 提 下 ， 
突出 风险 和 控制 ， 尽 可 能 使 描述 出 来 的 流程 更 加 符合 业务 实际 和 科学 管理 
的 要 求 。 另 外 由 于 我 们 采用 了 目前 比较 完善 的 流程 描述 系统 软件 ， 因 此 在 
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描述 流程 时 更 应 该 考虑 到 系统 软件 的 特殊 规定 ， 规 范 地 进行 流程 描述 。 

三 是 流程 描述 的 对 象 是 企 事业 单位 基本 业务 流程 中 的 末 级 流程 中 的 业 
务 活动 。 对 于 末 级 流程 以 上 的 各 级 流程 无 须 进行 详细 描述 ， 一 般 只 是 对 其 
进行 定义 即 可 。 


2. 流程 描述 的 原则 性 要 求 


(1) 整体 性 要 求 

QD 将 本 企业 作为 一 个 整体 对 业务 流程 加 以 描述 。 

@ 应 避免 因 描述 者 个 人 的 局 限 ,出 现 部 门 间 、 业 务 间 描述 的 详 略 失当 。 
如 果 在 进行 流程 描述 时 只 片面 地 关注 本 部 门 、 本 岗位 的 业务 ， 不 能 对 整个 
流程 有 全 局 的 考虑 ， 将 使 流程 描述 丧失 了 整体 性 ， 各 步骤 间 丧 失 了 逮 辑 性 
和 连贯 性 ， 并 会 出 现 流程 的 断层 、 重 复 或 遗漏 ， 造 成 相关 流程 之 间接 口 不 
明 ， 从 而 影响 流程 描述 整体 的 质量 。 

@@) 流程 图 不 应 只 是 流程 主管 部 门 的 职责 描述 , 应 全 面 反映 业务 活动 过 
程 中 主管 部 门 、 相 关 部 门 及 所 属 单位 的 职责 、 工 作 内 容 和 处 理 业务 过 程 中 
保存 的 记录 ( 如 文件 依据 、 报 告 、 审 批 记录 、 会 议 纪要 等 )。 绘 制 跨 部 门 的 
流程 图 时 , 不 能 只 强调 主管 部 门 的 工作 内 容 , 而 忽略 相关 业务 部 门 的 参与 ， 
应 当 将 业务 的 不 同 阶 段 主管 部 门 及 相关 部 门 的 工作 都 全 面 、 准 确 、 完 整地 
反映 在 流程 图 中 。 

(2) 完整 性 要 求 

中 每 个 基本 业务 流程 中 的 末 级 流程 对 应 一 个 流程 图 ， 不 能 缺少 必要 

流程 图 中 各 种 要 素 要 体现 完整 。 下 列 情况 属于 要 素 体 现 不 完整 : 流 
程 步 又 框 中 无 文字 ; 信息 系统 或 软件 生成 的 表单 、 报 告 等 缺少 名 称 ， 或 不 
是 实际 使 用 中 的 全 称 ; 流程 图 无 流程 名 称 、 流 程 步骤 缺 岗位 名 称 。 
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二 流程 图 不 能 缺少 必要 活动 或 控制 环节 , 过 于 简单 或 内 容 不 全 , 无 法 
反映 业务 运行 过 程 。 流 程 图 中 必须 反映 每 个 流程 的 主要 步骤 ， 特 别 是 业务 
过 程 中 的 授权 、 审 核 、 签 字 、 复 核 等 控制 步骤 。 

加 各 流程 步骤 都 要 有 对 应 的 实际 操作 岗位 ,责任 主体 须 尽 可 能 细 化 到 
科室 。 

(流程 图 要 做 到 简洁 并 通俗 易 懂 , 便于 读者 了 解 业务 、 操 作 ，, 对 不 易 
理解 或 理解 易 产 生 歧义 的 步 又 应 用 注释 说 明 。 

@@ 流程 图 应 该 注 明 必要 的 表单 。 流 程 图 中 业务 操作 的 文档 记录 、 表 单 
应 该 表示 出 来 ,要 能 够 提供 出 记录 控制 活动 载体 。 文 件 、 记 录 、 表 单 在 作 
为 某 个 流程 步骤 的 重要 输入 或 输出 时 ， 必 须 在 该 流程 步 双 进行 体现 ( 如 
XXX 明细 表 、x x x 审批 单 、 交 接 台 账 等 )。 

QD 同属 一 个 流程 的 两 个 或 多 个 子 流程 ,流程 图 的 结构 、 流 程 步 又、 内 
容 完全 相同 、 内 容 完全 一 致 ， 此 情况 应 考虑 归 类 合并 。 

绘制 流程 图 要 注重 控制 的 描述 。 控 制 要 素 要 全 面 , 体现 谁 控 制 、 如 
何 控 制 、 控 制 的 频率 、 要 保存 什么 控制 记录 等 。 

(3) 逻辑 性 要 求 

QD 流程 描述 逻辑 关系 要 清楚 , 应 避免 连 线 混乱 , 甚至 出 现 局 部 死 循环 
现象 。 

@ 流程 图 所 反映 业务 内 容 和 流程 名 称 应 保持 一 致 ， 不 能 出 现 脱节 的 
现象 。 

(4) 一 致 性 要 求 

中 注意 流程 内 部 和 流程 之 间 的 衔接 点 。 由 于 流程 涉及 内 容 较 多 , 既 要 
注意 流程 内 部 的 逻辑 关系 , 也 要 注意 流程 之 间 和 不 同 的 控制 点 之 间 的 衔接 。 
接口 应 在 各 自 的 流程 中 体现 ， 并 保持 相互 一 致 。 
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@) 流程 描述 的 层次 及 内 容 应 尽量 规范 。 同 一 流程 图 .不 同 的 流程 图 中 ， 
同一 文件 、 部 门 、 岗 位 的 使 用 必须 规范 统一 ， 保 持 高 度 一 致 性 。 

@ 相关 流程 间 的 一 致 性 要 求 。 与 企业 外 有 业务 往来 的 流程 ( 如 采购 、 
销售 等 ) 结算 付款 与 财务 管理 流程 中 支付 结算 要 衔接 一 致 ， 统 -管理 量 流 
程 一 致 的 业务 活动 (如 结算 、 签 订 合 同等 ) 应 在 一 个 流程 图 中 集中 描述 ， 
其 他 业务 流程 中 相同 业务 引用 此 流程 ， 企 事业 单位 内 部 部 门 间 、 与 下 属 单 
位 间 的 信息 传递 、 上 传 下 达 的 接口 在 各 自 的 流程 中 要 体现 一 致 性 。 

@ 流程 之 间 的 引用 必须 有 对 应 的 流程 图 ， 可 以 在 流程 目录 中 找到 。 

(5) 关注 风险 ， 突 出 控制 ， 为 建立 凤 险 控制 矩阵 做 准备 的 要 求 

描述 流程 时 ， 各 建设 单位 应 根据 本 身 的 具体 业务 ， 对 业务 流程 中 存在 
的 风险 予以 关注 ， 特 别 是 对 规避 这 些 风险 而 设置 的 控制 应 重点 关注 ， 这 样 
便于 把 握 流程 步骤 的 繁 简 程度 。 

(6) 现状 分 析 与 控制 改进 相 结 合 的 要 求 

如 果 公司 即将 实行 新 的 政策 ， 会 对 业务 流程 有 所 改变 ， 那 么 流程 按照 
实行 新 政策 后 的 业务 流程 描述 。 当 实际 操作 与 规章 制度 相 违背 时 ， 必 须 按 
照 制度 的 要 求 进 行 操作 并 按 制度 规定 描述 流程 。 部 门 和 岗位 变化 后 ， 需 要 
对 相应 的 流程 按 调整 后 的 情况 进行 重新 描述 。 

流程 步骤 的 描述 要 符合 管理 现状 ,是 对 管理 现状 的 规范 性 描述 ,不 能 脱 
离 现状 , 不 能 是 理想 状态 。 内 部 控制 建设 的 最 终 目标 是 在 对 管理 现状 进行 分 
的 并， 按照 内 部 控制 理论 和 标准 发 现存 在 的 问题 和 不 足 ， 提 出 改进 意 

完善 内 部 控制 制度 ， 提 高 管理 水 平 。 我 们 在 现 阶段 业务 流程 描述 时 ， 不 
人 及 分 机 疯 状 ， 而 且 要 思考 内 部 控制 中 存在 的 问题 及 如 何 改进 等 问题 。 


. 流程 描述 方法 分 类 
流程 描述 方法 主要 有 两 种 ， 即 文本 法 和 流程 图 法 。 
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(1) 文本 法 

文本 法 采用 文字 记录 的 方式 ( Word 文档 )， 说 明 一 个 业务 流程 从 开始 
到 结束 的 整个 过 程 及 相关 内 容 ， 也 叫做 流程 描述 法 。 

(2) 流程 图 法 

流程 图 是 比较 流行 的 方法 ， 主 要 使 用 Microsoft Office 组 件 Visio 软件 
进行 流程 描述 。 

下 面 我 们 将 按照 实际 操作 过 程 的 逻辑 顺序 介绍 业务 流程 描述 的 流程 图 
( Visio 图 示 法 )。 


4. 流程 图 


流程 图 是 用 图 形 符号 和 有 限 的 文字 叙述 来 描述 步 又 性 质 、 流 程 和 关键 
路 径 的 图 表 。 流 程 图 被 用 在 多 个 不 同 领域 以 记录 处 理 步 又 。 

《1) 流程 图 的 特点 

流程 图 可 以 使 我 们 更 加 充分 地 理解 一 个 流程 ， 从 起 点 到 终点 ( 即 一 项 
业务 的 流程 )， 并 且 使 我 们 更 加 容易 识别 控制 的 薄弱 领域 及 其 改进 的 机 会 。 

流程 图 也 提供 了 一 个 全 面 的 系统 描述 ， 从 而 可 以 被 有 效 地 运用 在 : 

QD 识别 关键 的 控制 。 

人 @ 评估 系统 程序 并 识别 系统 中 易 发 生 错误 的 环节 。 

二 定义 责任 范围 。 

@@ 向 新 员工 解释 系统 及 相关 控制 。 

因此 在 实务 中 ,流程 图 被 广泛 使 用 。 

(2) Visio 流程 图 的 构成 

Q@ 使 用 软件 。Microsoft Visio。 

@ 标准 流程 图 模板 。 模 板 应 用 Visio 中 跨 职 能 流程 图 , 如 图 4-10 所 示 。 
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图 4-10 ”Visio 流程 图 示例 


。 表 头 部 分 。 流 程 代 码 及 名 称 ， 该 流程 反映 的 截止 时 间 ， 所 属 组 织 单 
位 ， 子 流程 代码 及 名 称 ， 该 流程 图 最 新 修改 时 间 等 。 

。 流程 图 。 流 程 图 描述 采用 横向 〈 纵向 一 样 ) 垂直 方式 ， 自 左 到 右 、 
自 上 而 下 表示 流程 发 展 的 时 间或 逻辑 等 顺序 。 流 程 图 页 面 设置 为 横 
向 ; 纵向 以 职能 带 区 代表 单位 或 职能 部 门 。 单 位 或 职能 部 门 顺序 从 
上 到 下 排序 。 

(3) 图 例 及 说 明 

如 表 4-1 所 示 。 


表 4-1 流程 图 图 例 及 说 明 













































_ 序 号 "ee 图例 说 明 
负责 人 员 
War 负责 人 员 : 填 列 负责 该 工作 的 岗位 。 控 制 : 简要 
控制 描述 人 工具 体 实施 的 工作 步 又， 如 填写 费用 报销 音 
[ww | 负责 人 员 : 填 列 负责 该 工作 的 岗位 。 控 制 ， 简 要 
2 a 描述 在 系统 (如 SAP ) 中 完成 的 业务 活动 ， 如 系统 
创建 销售 订单 
pe 
3 \ 文档 名 称 电子 文档 ， 内 容 为 其 名 称 
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续 表 
Wi 


| 





例 | 图 例 说 明 








流程 目录 中 已 经 明确 的 具体 业务 流程 ， 此 图 例 表 
示 对 其 他 流程 的 引用 


文件 、 表 单 的 全 称 该 图 例 表示 纸 质 文档 ， 包 括 制 度 、 表 单 等 ， 内 容 
为 文件 、 表 单 的 全 称 








表示 离 页 索引 ， 内 容 填 列 索引 的 页 码 编号 





10 


用 来 连接 两 个 工作 步骤 
表示 在 信息 系统 


表示 流程 开始 或 结束 





11 


表示 业务 流程 中 关键 控制 点 ， 标 识 在 控制 点 的 右 
下 角 ， 结 合 编号 单位 、 流 程 编号 、 风 险 序 号 、 控 制 
点 序号 等 进行 编号 ， 如 K110.01.01……… 





13 


表示 业务 流程 中 一 般 控 制 点 ， 标 识 在 控制 点 的 右 
下 角 ， 结 合 单位 编号 、 流 程 编号 、 风 险 序 号 、 控 制 
点 序号 等 进行 编号 ， 如 C110.01.01.……: 

表示 业务 流程 中 IT 关键 控制 点 ， 标 识 在 控制 点 的 
右 和 下角， 结合 单位 编号 、 流 程 编号 、 风 险 序 号 、 控 
制 点 序号 等 进行 编号 ， 如 及 110.01.01.…… 








表示 业务 流程 中 IT 一 般 控制 点 ， 标 识 在 控制 点 的 
右 下 角 ， 结合 单 位 编号 、 流 程 编号 、 风 险 序 号 、 控 
制 点 序号 等 进行 编号 ， 如 C110.01.01…… 


此 图 例 在 存在 判断 /决策 时 使 用 ， 内 容 中 填 列 判断 
的 具体 事项 
—— i 


= 
OO 
Ow 


i 
| 
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(4) 范例 如 图 4-11 所 示 


101. 财务 报告 编制 流程 截止 时 间 : 2009-12-31 
101.01 会 计 科目 维护 最 新 修改 日 期 : 2010-1-15 


司 使 用 的 会 计 
科目 进行 检查 





“根据 审批 的 < 会 
计 科 目 维护 申请 表 
> 的 内 容 ， 在 系统 里 
操作 增加 总 账 参 数 








图 4-11 流程 图 范例 


需要 注意 的 是 ,截止 时 间 表 示 该 流程 图 反映 的 是 截止 到 该 时 间 的 业务 
现状 。 


5. 风险 控制 矩阵 的 编制 

风险 控制 矩阵 (RCM ) 详细 地 体现 业务 流程 中 存在 的 风险 和 控制 设计 
的 情况 。 它 是 对 现 有 规章 制度 进行 描述 和 分 析 的 主要 载体 ， 也 是 联结 业务 
流程 、 风 险 、 现 有 控制 措施 、 规 章 制度 文件 的 工具 。 

《1) 风险 控制 矩阵 的 作用 

通过 使 用 风险 控制 矩阵 ， 将 风险 对 应 到 具体 的 业务 流程 中 ， 了 解 在 实 
际 工作 中 如 何 控制 这 些 风险 ， 并 将 这 个 过 程 文本 化 。 
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风险 控制 矩阵 记载 并 体现 了 风险 控制 分 析 所 发 现 的 控制 缺陷 和 不 足 ， 
是 后 续 进 行 差异 分 析 、 控 制 完善 的 重要 基础 和 依据 。 

风险 控制 矩阵 还 是 自行 测试 、 外 部 审计 的 重要 依据 。 

(2) 风险 控制 矩阵 的 模板 〈 如 表 4-2 所 示 ) 


表 4-2 ”风险 控制 矩阵 模板 
风险 控制 矩阵 (RCM) 














流程 编码 及 名 称 : 子 流程 编码 及 名 称 : 
截止 时 间 : 版 本 : 
编制 部 门 : 编制 人 : 
, AD 时 | i | 这 : > 大 2 3 | Te 
近 | 风险 类 别 | 关 | 现 | | 应 用 系统 控 | 控制 频 js | 办 适用 
控 | | 入 入 | 市 率 ( 随 单位 
| | 风 | 键 | 有 | “| 控制 类 | 一 一 一 一 一 制 | 制 
制 | _ | 战 | 经 | 报 | 合 规 、| .| 方法 | 时 /BH/| _ 
| 路 | 省 | Am 险 | 控 | 控 型 ( 预 人 周 /月 实 | 文 下 
| 标 | -| | | | 持 | 制 | 制 | ”| 防 性 发 | | 相关 | “| 施 | 件 | 总 | 风 
编 | ,| 风 | 风 | 风 | 律 ) | 、| ,、| ,, | 动 /人 应 用 |  。，| 诬 李 | |。 | 
险 | 险 | 险 | 风险 述 | 编 | 措 TY 现 性 ) 系统 / 控制 度 /年 证 | 名 | 部 | 公 
|| 和 2 - 东乡 . i 
3 | 施 | 六 块 | 型 攻 | 度 ) 据 | 各 ] 



















































































(3) 风险 控制 矩阵 编制 说 了 明 
依据 流程 描述 、 控 制 活动 涉及 的 规章 制度 及 风险 数据 库 进行 风险 控制 
和 矩阵 的 编制 。 


风险 控制 矩阵 选用 Excel 文档 形式 进行 描述 ， 文 档 的 名 称 为 《风险 控 


制 矩阵 (RCM )》》 用 以 确认 、 记 录 存 在 风险 的 流程 步 又 的 现 有 控制 措施 及 
相关 要 素 的 文档 。 


1 ) 表 头 说 明 
表 头 中 ， 均 为 必 填 内 容 ， 如 实 填 写 即 可 。 其 中 ,“ 最 后 更 新 时 间 ” 指 修 
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改 该 风险 控制 矩阵 的 最 新 时 间 , “版 本 ”主要 是 根据 内 容 的 更 新 进行 版 本 
控制 。 

2 ) 表 体 部 分 

Q 控制 点 编号 。 与 相关 流程 图 上 的 控制 点 编号 一 致 。 控 制 编号 以 小 数 
点 为 界 ， 分 成 三 部 分 : 第 一 部 分 为 流程 编号 ; 第 二 部 分 为 风险 序号 ;第 三 
部 分 为 风险 控制 类 型 和 控制 点 编号 。 例 如 ，C108.01.01， 其 中 C 表示 控制 
点 ，Control，! 代表 单位 编号 ; 08 代表 流程 编号 ; 01 代表 该 流程 的 风险 序 
号 ，01 代表 该 风险 点 的 手工 控制 序号 。 所 有 的 控制 点 均 应 进行 编号 ; 控制 
点 编号 必须 和 流程 图 中 的 编号 对 应 。 

名 控制 目标 具体 描述 。 说 明 该 项 控制 要 达到 的 目标 。 根 据 所 选 的 控制 
目标 的 类 型 ， 具 体 描述 针对 风险 的 控制 目标 。 

@ 风险 类 别 。 根 据 《 内 控 规 范 》 的 要 求 ， 结 合 公司 目标 , 将 风险 分 为 
战略 、 经 营 、 报 告 和 合 规 (法 律 ) 风险 四 类 。 根 据 风 险 描述 ， 结 合 对 应 的 
目标 ， 确 定 风险 类 别 。 

@ 风险 描述 。 与 目标 对 应 , 与 目标 描述 内 容 相反 , 参考 风险 数据 库 的 
内 容 ， 对 风险 的 内 容 进 行 详细 描述 ， 根 据 本 单位 的 实际 情况 进行 风险 识别 
和 描述 。 若 对 风险 数据 库 进 行 调整 ， 特 别 是 增加 的 风险 ， 该 风险 描述 要 明 
确 具 体 地 描述 影响 目标 实现 的 因素 。 

包 关键 控制 编号 。 以 小 数 点 为 界 , 分 成 三 部 分 : 第 一 部 分 为 流程 编号 ; 
第 二 部 分 为 风险 序号 ; 第 三 部 分 为 关键 控制 点 编号 。 例 如 ，K108.01.01， 
其 中 K 表示 关键 控制 ，Key Control，1 代表 单位 编号 ; 08 代表 流程 编号 ; 
01 代表 该 流程 的 风险 序号 ，01 代表 关键 控制 点 序号 。 

@ 现 有 控制 措施 。 详 细 描述 实际 采用 的 控制 措施 ， 需 满足 五 要 素 ， 即 
“ 谁 (Who 六 、“ 为 了 达到 什么 目标 (Why 》、“ 在 什么 时 间 ( When 六、“ 在 
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什么 地 方 ( Where “做 了 什么 事 ( What 了。 

@ 控制 类 型 。 控 制 活动 可 以 是 预防 性 的 或 发 现 性 的 。 

预防 性 控制 是 防止 问题 发 生 的 机 制 ， 在 风险 发 生 之 前 ， 为 避免 风险 采 
取 的 措施 。 例 如 ， 制 定 政 策 、 准 备 备查 清单 、 合 同 在 执行 前 需要 审批 等 为 
预防 性 控制 。 

发 现 性 控制 是 为 发 现 问 题 而 设立 的 控制 机 制 ; 事后 做 的 、 为 及 时 发 现 
问题 而 采取 的 措施 是 发 现 性 控制 。 例 如 ， 核 对 财务 系统 和 资产 系统 的 余额 
是 否 一 致 ， 审 核 记 账 凭证 是 否 准确 ， 编 制 银 行 存款 余额 调节 表 等 。 

控制 方法 。 控 制 活动 可 以 是 人 工 的 ， 也 可 以 是 自动 的 。 

人 工控 制 如 人 工 核 对 ， 授 权 签 字 ， 信 用 状况 核查 和 信用 限额 批准 等 。 

自动 的 控制 如 操作 系统 登录 和 权限 控制 ， 超 出 信用 额度 ， 系 统 自动 限 
制 发 出 货物 及 开 出 发 票 ， 自 动 校 验 等 。 

@ 应 用 系统 控制 , 是 嵌入 在 业务 流程 控制 中 的 。“ 所 属 应 用 系统 /模块 ” 
指 承载 该 应 用 系统 控制 的 IT 系统 或 者 某 个 比较 大 的 系统 中 的 某 个 模块 , 如 
SAP 中 的 FI ( 财务 ) 模块 。“ 相 关 控 制 措施 ”详细 描述 这 个 应 用 系统 控制 ， 
要 注 明 控制 方式 ， 如 数据 类 型 校 验 、 重 复 输 入 校 验 、 批 总 量 控 制 、 序 列 校 
验 、 系 统 匹 配 、 逐 一 检测 、 编 辑 校对 、 预 定 的 数据 列表 、 授 权 检 查 、 有 效 
性 检查 等 技术 控制 。 具 体内 容 将 在 “4.5IT 应 用 控制 ”中 介绍 。 

控制 频率 。 说 明 该 控制 多 久 、 什 么 时 候 控制 一 次 ， 分 为 随时 /日 / 周 / 
月 度 / 季 度 / 年 度 。 

@ 控制 实施 证 据 。 指 在 实施 现 有 控制 时 所 使 用 的 报告 、 表 单 、 签 字 等 ， 
最 能 说 明 或 证 明 执 行 过 某 项 控制 的 书面 证 据 。 这 里 的 证 据 范围 较 广 ， 可 以 
是 统一 实施 证 据 ， 也 可 以 是 会 议 记 录 或 电话 记录 等 。 如 果 在 实施 现 有 控制 
时 没有 使 用 相应 的 报告 、 表 单 、 签 字 等 ， 则 应 填 “ 无 ”。 
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@ 控制 文件 名 称 。 指 该 项 控制 的 管理 制度 文件 的 名 称 。 若 没有 控制 文 
件 ， 则 应 填 “无 ”。 

名 适用 单位 。 指 该 项 控制 适用 的 组 织 单位 。 适 用 于 总 部 ， 或 者 适用 于 
下 属 某 些 公司 ， 或 者 全 部 适用 。 

风险 控制 矩阵 编制 时 所 涉及 的 支持 控制 的 制度 文件 ， 包 括 公司 及 其 下 
属 公司 下 发 的 各 项 规定 、 要 求 、 管 理 办 法 、 实 施 指南 、 意 见 、 通 知 等 各 个 
类 型 的 制度 文件 , 以 及 国家 相关 法 律 法 规 和 政府 管理 部 门下 发 的 制度 文件 。 


6， 穿行 测 试 

穿行 测试 是 了 解 业 务 现状 和 内 部 控制 设计 的 有 效 途径 。 实 践 中 ， 穿 行 
测试 ( Walkthrough ) 也 是 更 新 与 完善 流程 图 和 风险 控制 矩阵 (RCM ) 的 有 
效 方法 。 

(1) 穿行 测试 的 定义 

对 每 类 重大 交易 中 选择 一 笔 交易 ， 从 其 起 始 进行 追溯 ,通过 公司 的 业 
务 流程 与 IT 系统 ,一 直到 其 结束 。 需 要 注意 的 是 ,我 们 选择 一 个 样本 , 应 
从 头 至 尾 穿行 ， 也 就 是 要 保证 在 流程 各 个 环节 获取 的 文档 要 能 钩 稽 起 来 。 

《2) 穿行 测试 的 目的 

中 熟悉 和 理解 业务 流程 。 

@ 验证 公司 确认 的 关键 风险 和 关键 控制 的 完整 性 和 合理 性 。 

地 验证 关键 控制 设计 的 有 效 性 , 即 公 司 确定 的 关键 风险 和 关键 控制 在 
被 测试 单位 是 否 被 采用 ， 如 果 没有 被 采用 ， 分 析 其 合理 性 ; 被 测试 单位 业 
务 流程 中 存在 的 特殊 重要 风险 是 否 被 识别 ， 相 应 的 关键 控制 是 否 被 确认 并 
准确 记录 。 

@ 检查 被 测试 单位 是 否 制定 了 与 控制 实施 相关 的 制度 。 
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人 确认 控制 (一般 控制 和 关键 控制 ) 是 否 被 有 效 执行 , 该 控制 执行 后 
能 否 防 范 风险 。 

@ 找 出 流程 描述 和 风险 控制 矩阵 的 内 容 与 实际 执行 情况 的 差异 , 分析 
差异 产生 的 原因 ， 并 提出 整改 完善 建议 , 使 内 部 控制 文档 和 实际 情况 保持 
一 致 。 

《3) 穿行 测试 的 步骤 

1 ) 访谈 

访谈 原则 上 要 求 就 实施 控制 的 每 个 岗位 进行 访谈 ， 以 确保 获取 最 直接 
的 信息 。 但 如 果 测 试 人 员 能 够 肯定 判断 从 一 个 或 几 个 岗位 上 访谈 所 获取 的 
信息 已 经 足够 支持 测试 所 需 了 解 的 内 容 和 信息 ， 那 么 根据 被 测试 单位 的 实 
际 情况 ， 可 以 不 用 访谈 每 个 岗位 。 


访谈 时 重点 关注 : 

。 公司 确定 的 关键 风险 和 关键 控制 在 被 测试 单位 是 否 被 采用 ， 并 在 哪 
些 岗 位 实施 。 

。 被 测试 单位 业务 流程 中 存在 的 特殊 重要 风险 是 否 被 识别 ， 相 应 的 关 
键 控制 是 否 被 确认 并 准确 记录 。 


。 了 解 以 前 年 度 存在 的 问题 的 整改 情况 ， 并 在 设计 层面 初步 分 析 整改 

后 是 否 达到 了 控制 目标 ， 分 析 其 合理 性 。 

2 ) 选择 测试 样本 

QD 样本 选取 的 方法 。 审 阅 流 程 图 和 风险 控制 矩阵 描述 的 相关 文档 记录 
是 否 存在 ， 如 果 存 在 ， 样 本 -_ 般 按 流程 描述 的 先后 顺序 抽取 一 笔 业 务 从 流 
程 开始 追踪 至 流程 结束 。 为 提高 测试 效率 ， 也 可 以 采取 业务 发 生 的 道 顺序 
的 方式 进行 样本 的 选取 。 不 管 采取 哪 种 方式 ， 都 应 保证 所 选取 的 样本 能 角 
贯穿 业务 流程 全 过 程 ， 同 时 注意 应 在 不 同业 务 部 门 取得 与 样本 相关 的 认 所 
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资料 。 

如 果 流 程 中 有 因 审 批 权 限 、 业 务 性 质 等 不 同 产生 的 流程 分 支 ， 由 于 前 
段 流程 相同 , 所 以 选取 不 同 的 分 支 样本 ， 只 需 测 试 在 分 支 阶段 不 同 的 控制 ， 
而 不 需要 再 依据 不 同 分 支取 得 的 样本 从 头 测试 一 遍 。 

针对 不 同业 务 流程 中 的 引用 流程 〈 如 合同 签订 、 会 计 核 算 、 资 金 支付 
等 引用 流程 ) 测试 人 员 不 需要 进行 重复 的 穿行 测试 。 但 是 测试 人 员 应 该 相 
互 之 间 进 行 充分 的 沟通 ， 做 到 对 重要 流程 步骤 的 不 遗漏 ， 以 确保 测试 范围 
的 完整 性 。 

@ 选择 样本 需 考 虑 的 因素 : 

。 能 够 代表 重要 业务 流程 中 的 主要 业务 类 型 ， 具 有 一 定 的 普遍 性 。 

。 同一 业务 流程 中 ，IT 应 用 控制 选取 的 样本 与 手工 控制 选取 的 样本 必 

须 对 应 相同 的 业务 事项 。 

3 ) 检查 控制 是 否 存 在 并 执行 

对 选 定 的 样本 进行 检查 ， 重 点 关注 以 下 方面 : 

QD 被 测试 单位 设计 的 控制 是 否 被 有 效 执行 ,该 控制 执行 后 能 否 防范 相 
关 的 关键 风险 ; 进而 验证 访谈 结果 是 否 准确 ， 即 公司 确定 的 关键 风险 和 关 
键 控制 在 被 测试 单位 是 否 被 采用 ， 并 在 哪些 岗位 实施 ; 被 测试 单位 业务 流 
程 中 存在 的 特殊 重要 风险 是 否 被 识别 ， 相 应 的 关键 控制 是 否 被 确认 并 准确 
记录 。 

@ 检查 相关 文档 记录 是 否 按 要 求 填写 和 传递 。 根 据 文 档 填 制 情况 ,分 
析 描 述 的 控制 在 实际 工作 中 是 否 得 到 执行 ， 实 际 执行 中 的 控制 在 风险 控制 
文档 中 是 否 进行 了 相关 的 描述 ， 实 际 执行 的 控制 是 否 留 下 实施 证 据 。 

@ 在 检查 样本 时 , 应 结合 公司 设计 有 效 性 测试 及 被 测试 单位 设计 有 效 
性 测试 发 现 的 问题 ， 通 过 检查 样本 进一步 验证 设计 方面 发 现 的 问题 。 对 执 
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行 层面 发 生 的 缺陷 应 分 析 其 产生 的 原因 ， 是 否 是 因为 设计 方面 存在 问题 而 
产生 缺陷 。 

4 ) 观察 

对 正在 发 生 的 特定 控制 进行 观察 ， 进 而 获取 控制 证 据 。 例 如 ， 在 票据 
管理 流程 中 ， 一 般 都 存在 《票据 与 银行 印鉴 分 开 保管 》 的 控制 ， 针 对 该 控 
制 可 以 执行 的 测试 步骤 是 : 观察 银行 预 留 印 鉴 是 否 由 出 纳 岗 之 外 的 其 他 人 
员 分 开 保 管 。 

5 ) 记录 测试 情况 

测试 完毕 后 ， 根 据 测 试 结果 记录 测试 过 程 ， 包 括 访谈 的 岗位 ， 观 察 的 
事项 、 时 间 、 结 论 ， 检查 的 相关 样本 ， 记 录 发 现 的 问题 ， 并 复制 缺陷 涉及 
的 相关 证 据 。 

6 ) 完善 文档 与 整改 建议 

经 过 穿行 测试 ， 找 出 流程 图 和 风险 控制 矩阵 的 内 容 与 实际 执行 情况 的 
差异 ， 分 析 差 异 产生 的 原因 ， 并 提出 整改 完善 建议 ， 更 新 完善 流程 图 和 风 
险 控制 矩阵 等 内 容 ， 确 保 与 实际 情况 保持 一 致 。 


7. 差异 分 析 与 完善 


C1) 补充 识别 评估 风险 

在 完成 流程 图 和 风险 控制 矩阵 编制 工作 后 ， 在 穿行 测试 过 程 中 ， 按 照 
公司 制定 的 风险 评估 方法 和 标准 及 风险 数据 库 ， 结 合 实际 业务 ， 对 主要 业 
务 流程 开展 风险 评估 的 补充 识别 、 评 佑 工作 。 从 风险 入 手 ， 考 虑 影响 目标 
的 具体 问题 , 讨论 存在 的 风险 。 对 于 新 识别 的 风险 及 控制 , 参照 有 关 定 义 ， 
或 者 参考 风险 数据 库 对 其 做 出 界定 ,将 新 识别 的 风险 和 需要 对 风险 数据 库 
调整 的 具体 内 容 ， 经 审批 后 补充 完善 到 风险 数据 库 中 。 
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《2) 识别 、 确 定 与 风险 相应 的 有 效 控制 

针对 风险 数据 库 中 的 风险 ， 对 现 有 文件 、 制 度 规定 及 实际 业务 执行 中 
的 相应 控制 措施 进行 分 析 ， 分 别 找 出 风险 对 应 的 控制 。 

1 ) 控制 与 一 般 业 务 活动 的 区 别 

控制 是 为 防范 和 规避 风险 ， 保 证 管理 层 的 指令 、 政 策 得 以 执行 的 必要 
措施 或 程序 ， 按 作用 分 为 预防 性 和 发 现 性 控制 。 

控制 与 一 般 业 务 活动 过 程 的 区 别 就 在 于 :控制 具有 预防 性 或 者 发 现 性 ; 
同时 每 项 控制 的 设计 、 实 施 总 是 针对 特定 的 某 个 或 某 几 个 风险 而 为 ， 因 而 
还 具有 针对 性 。 表 4-3 是 两 者 区 别 的 一 些 实例 。 


表 4-3 控制 与 一 般 业务 活动 的 区 别 
Ts ”9 
从 EPP 系统 中 ， 打 印 所 有 付款 金额 、 付 款 人 相同 的 支票 的 报 | 
告 ， 即 疑似 重复 付款 报告 
将 付款 期 为 一 年 以 上 的 账 款 单独 分 类 
审核 系统 安全 设置 ， 确 保 录 入 订单 的 权限 被 严格 控制 


审核 所 有 超过 五 千 元 的 发 票 ， 确 保 得 到 部 门 经 理 的 适当 批准 


核对 收 到 货物 的 收 货 数 据 与 采购 订单 数据 
确定 采购 折扣 


业务 1、2、6 没有 任何 跟 进 措施 〈 如 审核 等 ) 的 活动 ， 没 有 实现 预防 
或 者 发 现 的 作用 ， 不 属于 控制 。 

2 ) 内 部 控制 设计 有 效 性 评价 

针对 风险 设计 的 控制 是 否 有 效 ， 可 以 从 以 下 几 个 方面 判断 : 

。 控制 是 否 与 企业 的 业务 流程 及 相关 风险 相 匹 配 。 

。 控制 是 否 接 触 满足 完整 性 、 准 确 性 、 有 效 性 和 性 的 要 求 。 

。 控制 是 否 能 够 及 时 发 现 和 预防 风险 控制 实施 的 频率 )。 










A 


| 


控制 /活动 





活动 








活动 
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。 控制 实 施 人 员 是 否 有 足够 的 知识 和 经 验 。 

。 是 否 实施 职责 分 离 。 

。 控制 中 发 现 的 问题 是 否 能 够 及 时 得 到 处 理 。 

。 在 实施 控制 中 所 使 用 的 信息 是 否 可 靠 。 

。 控制 是 否 适应 环境 的 变化 。 

参考 表 4-4 来 判断 控制 的 效果 ， 这 里 指 的 效果 只 是 相对 而 言 。 


表 4-4 ”控制 效果 分 析 





2 控制 效果 
0 弱 
人 工控 制 



















简单 控制 
有 经 验 的 人 员 
预防 性 控制 
多 层次 控制 
业务 层面 的 控制 
事前 / 事 中 控制 

3 ) 识别 内 部 控制 设计 缺陷 

控制 活动 在 设计 上 ， 不 能 有 效 地 防范 或 减少 控制 点 风险 ， 表 示 是 内 部 
控制 弱点 。 一 般 有 下 面 两 种 情况 。 

中 有 风险 , 无 控制 。 例 如 , 我 们 都 知道 报销 费用 的 时 候 ， 要 找 领导 
签 批 ,领导 审核 、 签 字 的 这 个 过 程 就 是 对 费用 的 一 个 控制 。 如 果 我 们 在 
设计 内 部 控制 的 时 候 没有 设计 这 个 程序 ， 没有 要 求 费 用 需要 相应 的 领导 
签 批 才 能 报销 ， 随 便 一 个 人 都 可 以 到 财务 那里 报销 ， 随 便 报 。 很 快 公司 
的 资金 就 会 被 报销 完了 ， 公 司 运转 不 下 去 ， 要 倒闭 了 。 这 就 是 有 风险 ， 
无 控制 。 







缺乏 经 验 的 人 员 
发 现 性 控制 
单一 层次 控制 
公司 层面 的 控制 
事后 控制 
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@@ 有 风险 , 控制 不 足够 。 如果 我 们 内 部 控制 设计 的 时 候 , 设计 了 费用 
报销 的 审核 、 签 字 , 但 是 只 是 要 求 自己 审核 一 下 ， 答 个 字 就 行 了 ， 那 么 这 
个 控制 没有 意义 。 执 行 完 这 个 控制 后 ， 公 司 倒闭 的 风险 一 点 也 不 会 减少 。 
这 是 有 风险 ， 控 制 不 足够 。 

4 ) 完善 内 部 控制 设计 

针对 发 现 的 内 部 控制 设计 缺陷 ， 提 出 整改 建议 ， 完 善 公司 内 部 控制 
设计 。 

QD 有 风险 无 控制 的 ,寻找 蔡 代 控制 ,或 者 建立 控制 ,然后 在 流程 图 和 
风险 控制 矩阵 中 添加 相应 的 控制 。 

@ 有 风险 ,控制 不 足够 的 ， 寻 找补 充 控制 ， 或 者 完善 该 控制 ， 然 后 在 
流程 图 和 风险 控制 矩阵 中 添加 相应 的 控制 。 

例如 ， 合 同 签订 流程 中 ， 由 于 对 合同 专用 章 被 盗用 的 风险 没有 控制 ， 

应 增加 相应 控制 措施 ， 并 在 流程 图 中 增加 此 控制 ， 即 为 “加 盖 合 同 专用 章 
时 应 登记 合同 专用 章 台 账 ”。 

5 ) 完善 文档 

经 过 文档 编制 、 穿 行 测试 、 差 异 分 析 、 内 部 控制 设计 完善 后 ,需要 对 
相关 的 文档 进行 完善 。 

Q 流程 图 是 业务 流程 的 直观 、 概 括 的 体现 。 通过 图 中 的 风险 点 和 控制 
点 与 风险 控制 文档 相 链 接 。 

@ 风险 控制 矩阵 详细 的 体现 业务 流程 中 的 风险 和 控制 设计 的 情况 。 
它 是 内 部 控制 描述 的 主要 载体 ， 亦 是 联结 风险 、 控 制 、 制 度 文件 、 差 异 分 
析 结 果 的 工具 ; 是 后 续 进 行 控 制 完善 、 差 异 分 析 及 控制 测试 的 重要 基础 和 
依据 。 
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4.4.3 ”确认 关键 控制 





1， 确 认 关 键 控制 的 目的 

关键 控制 是 公司 在 经 营 管理 中 ， 为 了 防范 重要 风险 而 制定 的 重要 的 、 
最 有 影响 力 的 一 项 或 多 项 控制 。 如 果 缺 少 这 些 控制 ， 将 会 在 很 大 程度 上 产 
生财 务 报 表 错 报 、 资 产 安全 受到 威胁 、 舞 弊 和 较 大 经 济 损失 的 风险 。 

关键 控制 确认 是 在 前 期 全 面 进 行 风险 评估 、 控 制 分 析 的 基础 上 ， 为 了 
强化 控制 活动 ， 突 出 控制 重点 ， 简 化 评估 测试 而 开展 的 一 项 重要 工作 。 关 
键 控制 是 内 部 控制 体系 框架 的 重要 内 容 ， 是 实现 控制 目标 的 最 重要 的 控制 
措施 ， 也 是 外 部 审计 师 关 注 的 重点 审计 内 容 。 

通过 关键 控制 确认 ， 一 是 突出 控制 重点 ; 二 是 可 以 为 管理 层 测 试 内 部 
控制 体系 的 完整 性 和 有 效 性 提供 统一 的 范围 和 标准 ; 三 是 可 以 为 外 部 审计 
师 评估 、 测 试 公司 内 部 控制 体系 完整 性 和 有 效 性 提供 基础 性 资料 。 


2. 确认 关键 控制 的 基本 标准 

QD 确认 的 关键 控制 , 是 在 相关 流程 中 影响 力 和 控制 力 相 对 较 强 的 一 项 
或 多 项 控制 ， 其 控制 作用 是 必 不 可 少 和 不 可 替代 的 。 如 果 缺 少 该 项 控制 ， 
将 在 很 大 程度 上 直接 〈 而 不 是 间接 ) 导致 风险 的 产生 。 

@) 确认 的 关键 控制 ， 对 应 风险 是 根据 风险 评估 的 结果 确定 关键 风险 。 

二 确认 的 关键 控制 , 必 能 实现 一 项 或 多 项 控制 目标 , 而 且 同 时 满足 多 
项 控制 目标 的 控制 更 关键 。 

@ 确认 的 关键 控制 , 必须 存在 控制 证 据 并 能 够 对 控制 过 程 进 行 验证 和 
测试 。 


3. 确认 关键 控制 的 程序 
QD 内 部 控制 项 目 组 提出 相关 业务 流程 的 “关键 控制 点 和 控制 要 点 ”， 
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形成 “关键 控制 管理 文件 ”。 


外 将 关键 控制 管理 文件 发 给 公司 相关 部 门 、 下 属 公 司 全 面 征求 意见 ， 
项 目 组 根据 反馈 的 意见 ， 按 照 关 键 控制 确认 标准 ， 修 订 完善 。 
@ 如 有 必要 ， 可 聘请 外 部 的 专业 咨询 机 构 支 持 。 
@ 项 目 组 将 修改 后 的 关键 控制 管理 文件 提交 公司 相关 部 门 、 下 属 公司 
进行 确认 。 
@ 将 关键 控制 管理 文件 提交 公司 领导 审批 ， 成 为 公司 制度 文件 。 


i 
6 
和 
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4.5.1_ 应 用 系统 的 划分 





如 果 公司 使 用 的 应 用 系统 很 多 ， 需 要 按 对 公司 业务 流程 的 影响 程度 对 


信息 应 用 系统 进行 划分 。 实 际 操作 中 ， 主 要 是 根据 应 用 系统 跟 财 务 报告 的 
关系 来 划分 ， 在 第 2 章 中 曾 有 介绍 。 


1. 应 用 系统 划分 标准 


在 对 应 用 系统 进行 等 级 划分 时 ， 考 虑 以 下 因素 : 

QD 是 否 在 公司 范围 内 普遍 使 用 。 

加 是 否 存在 对 财务 报告 产生 重大 影响 的 会 计 科目 。 

@ 是 否 存 在 对 财务 报告 产生 重大 影响 的 功能 ( 重大 影响 的 功能 是 指 直 
接 或 间接 对 财务 报告 与 披露 数据 产生 重大 影响 的 应 用 系统 功能 模块 )。 

@@ 与 财务 系统 的 数据 交换 方式 (手工 或 自动 、 数 据 范围 )。 

@) 是 否 可 在 所 有 重大 方面 依赖 手工 控制 。 


6. 
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2. 


应 用 系统 划分 


(1) 重要 应 用 系统 

将 满足 以 下 条 件 的 应 用 系统 ， 划 分 为 重要 应 用 系统 : 

QD 在 公司 范围 内 (包括 下 属 公司 ) 普遍 使 用 。 

四 存在 对 财务 报告 产生 重大 影响 的 会 计 科目 ,或 存在 对 财务 报告 产生 


重大 影响 的 功能 ， 或 与 财务 系统 的 数据 存在 接口 (手工 或 自动 )。 


3. 


@) 在 重大 方面 无 法 依赖 手工 控制 。 

(2) 普通 应 用 系统 

将 同时 满足 以 下 四 个 标准 的 系统 ， 确 定 为 普通 应 用 系统 : 

Qz_ 存在 对 财务 报告 产生 重大 影响 的 功能 。 

@) 存在 对 财务 报告 产生 重大 影响 的 会 计 科 目 。 

@ 在 公司 范围 内 较 普遍 使 用 。 

@ 所 有 重大 方面 可 以 依赖 手工 控制 。 

《3) 其 他 应 用 系统 

重要 应 用 系统 与 普通 应 用 系统 以 外 的 应 用 系统 划分 为 其 他 应 用 系统 。 


应 用 系统 控制 内 容 
(1) 重要 应 用 系统 
识别 应 用 系统 控制 并 对 关键 应 用 系统 控制 进行 测试 。 


(2) 普通 应 用 系统 
识别 与 普通 应 用 系统 相关 的 手工 控制 ， 并 判断 相关 手工 控制 措施 是 否 


可 保证 财务 数据 的 真实 、 准 确 与 完整 。 若 无 法 满足 ， 则 


人 b 增加 或 改善 的 手工 控制 。 
GO) 在 无 法 增加 或 改善 手工 控制 的 前 提 下 ,识别 普通 应 用 系统 控制 。 
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@ 其 他 应 用 系统 。 
(3) 不 进行 应 用 系统 控制 识别 与 测试 


4.5.2 ”应 用 系统 用 户 权 限 管理 





1. 应 用 系统 用 户 权限 管理 的 基本 原则 


用 户 权限 管理 应 同时 满足 以 下 基本 原则 : 

中 需求 导向 及 最 小 授权 原则 。 对 于 用 户 的 权限 , 应 当 以 其 实际 工作 需 
要 为 依据 ， 且 仅 应 当 授 予 能 够 完成 其 工作 任务 的 最 小 权限 。 

@ 未 明确 允许 即 禁 止 。 除 非 用 户 对 权限 的 需求 得 到 了 相关 领导 的 明确 
批准 ， 和 否则 不 应 当 授予 用 户 任何 权限 。 

(3) 职责 分 离 原则 。 任 何 一 个 用 户 不 能 同时 具有 两 种 (或 两 种 以 上 ) 的 
不 相 容 权限 。 


2， 应 用 系统 用 户 权限 管理 的 组 成 


中 访问 控制 。 是 指 用 户 能 够 访问 哪些 应 用 系统 内 的 资源 或 执行 哪些 任 
务 〈 或 功能 ) 的 范围 ， 从 控制 的 角度 考虑 在 系统 中 所 拥有 的 功能 权限 和 数 
据 权 限 是 否 超出 了 其 工作 需要 。 

外 职责 分 离 。 职 责 分 离 是 把 一 个 业务 ( 子 ) 流程 的 工作 内 容 分 为 几 个 
职责 不 相 容 的 部 分 并 由 不 同 的 人 来 完成 ， 避 免 因 同一 个 人 能 够 操作 不 相 容 
职责 而 产生 的 错 弊 风险 。 


3. 应 用 系统 用 户 权 限 管理 


(1) 将 职责 分 高 融入 应 用 系统 用 户 权限 中 
依据 不 相 容 职责 分 工 的 原则 ， 从 业务 流程 和 组 织 结构 层次 两 个 维度 进 
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行 分 析 ， 可 以 定义 出 系统 中 的 冲突 权限 。 

QD 从 业务 流程 的 维度 (横向 ) 出 发 ， 需要 职责 分 离 : 

。 交易 的 发 起 ， 如 凭证 录入 。 

。 交易 的 复核 ( 或 授权 )， 如 凭证 复核 。 

。 交易 的 记录 ， 如 凭证 记 账 。 

。 实物 保管 ， 如 出 纳 。 

。 稽核 检查 ， 如 内 部 审计 。 

。 主 文件 维护 ， 如 数据 中 心 的 核算 对 象 维护 。 

。 系统 管理 ， 如 系统 运行 参数 维护 。 

@) 对 于 规模 大 企业 , 需要 考虑 由 企业 组 织 结构 中 不 同 层面 的 人 完成 的 
职责 ， 也 应 当 视 为 必须 分 离 的 职责 。 

例如 ,通过 系统 审批 合同 ,根据 公司 权限 ,大 于 1 亿 元 人 民 币 的 合同 ， 
系统 内 容 的 录入 、 下 属 公司 审核 、 总 部 审核 、 总 部 合同 管理 部 门 领导 审批 、 
总 部 主管 副 总 裁 审批 五 种 权限 之 间 属 于 不 相 容 权限 。 

(2) 形成 应 用 系统 用 户 权限 体系 

结合 公司 实际 业务 流程 需要 , 根据 应 用 系统 用 户 权 限 管理 的 基本 原则 ， 
按照 应 用 系统 权限 实现 方法 ， 在 应 用 系统 内 形成 完整 恰当 的 应 用 系统 用 户 
权限 体系 。 

(3) 应 用 系统 用 户 权限 测试 

”在 建立 完成 应 用 系统 用 户 权 限 体 系 后 ， 需 要 对 权限 在 测试 环境 

(Testing ) 中 进行 测试 ， 发 现 问题 及 时 调整 。 

(4) 应 用 系统 用 户 权限 确认 与 运行 

经 过 测试 环境 测试 无 误 后 ， 将 权限 清单 交 由 用 户 签字 确认 后 ， 领 导 审 
批 后 生效 。 将 测试 环境 ( Testing ) 转 人 生产 环境 (Production )， 权 限 体 系 
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一 一 


正式 运行 。 


4. 权限 日 常 管理 


权限 日 常 管理 是 依据 应 用 系统 用 户 权限 ， 对 用 户 权限 的 申请 、 审 批 、 
变更 、 删 除 进行 管理 。 

(1) 应 用 系统 用 户 增加 

在 系统 新 增 用 户 时 ， 根 据 以 下 步骤 设置 用 户 的 权限 : 

中 根据 企业 的 组 织 结构 、 岗 位 设置 等 ， 明 确 用 户 的 岗位 职责 。 

四 依据 功能 权限 和 数据 权限 的 标准 , 从 负责 授权 的 业务 部 门 主管 (或 
信息 部 门 主管 ) 取得 正式 批准 。 

地 在 系统 中 为 用 户 设置 相应 的 功能 权限 和 数据 权限 。 

@ 在 与 系统 相对 应 的 “通用 角色 与 系统 终端 用 户 对 照 表 ”中 增加 该 用 
户 的 信息 。 

(2) 应 用 系统 用 户 变 更 

在 用 户 的 工作 内 容 发 生变 动情 况 时 ( 不 包括 离职 ), 根据 以 下 步骤 调整 
用 户 的 权限 : 

QD 根据 企业 的 组 织 结构 、 岗 位 设置 等 , 结合 调整 的 内 容 , 明确 用 户 新 
的 岗位 职责 。 

@@O 依据 功能 权限 和 数据 权限 的 标准 ， 确 定 授权 的 调整 范围 ， 从 负责 
授权 的 业务 部 门 主管 取得 变更 的 正式 批准 ,并 以 书面 形式 记录 变更 和 审批 
过 程 。 

@ 在 系统 进行 相应 权限 的 授权 。 

《3) 应 用 系统 用 户 离 岗 / 离 职 

在 用 户 离 岗 (离职 ) 时 ,根据 以 下 步骤 调整 用 户 的 权限 : 
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QD 用 户 办 理 离 岗 (离职 ) 手续 必须 有 应 用 系统 管理 部 门 签 字 确 认 。 
@ 签字 确认 前 ， 系 统管 理 员 查 看 该 用 户 在 系统 中 的 权限 并 及 时 禁用 
(或 删除 ) 用 户 ID。 


5. 特殊 权限 的 管理 


(1) 特殊 授权 类 管理 权限 

在 应 用 系统 中 ， 有 些 必须 的 、 不 经 常 使 用 、 对 系统 至 关 重要 的 功能 ， 
通过 这 些 功能 的 设置 ， 可 对 系统 的 运行 产生 重要 的 影响 。 这 些 需 要 特殊 授 
权 的 权限 (如 SAP 中 的 “折旧 参数 维护 ”等 ) 和 岗位 在 日 常 不 应 当 授予 任 
何人 员 ， 而 是 在 具体 工作 需要 时 ， 必 须 在 履行 严格 的 申请 、 审 批 和 授权 流 
程 后 ， 并 由 系统 的 管理 员 临时 授权 ， 使 用 完毕 后 ， 应 马上 收回 授权 。 

(2) 禁用 的 权限 

在 有 些 系统 中 设 有 “和 凭证 删除 ”的 权限 ， 即 拥有 此 权限 可 以 删除 已 经 
生成 的 会 计 和 凭证 。 由 于 凭证 删除 不 符合 有 关 会 计 核算 的 规定 ， 因 此 应 当 禁 
用 此 功能 ， 不 允许 授予 任何 人 。 


6. 权限 定期 审阅 

在 日 常 的 管理 工作 中 , 应 当 定期 对 用 户 在 系统 中 的 访问 权限 进行 检查 ， 
主要 有 : 

中 定期 (如 6 个 月 ) 或 在 发 生变 动 后 , 检查 所 有 用 户 权限 的 设置 情况 。 

@ 对 于 拥有 关键 权限 的 所 有 用 户 ,应当 以 更 短 的 周期 (如 3 个 月 ) 定 
期 进行 检查 。 


7. 权限 变更 流程 
在 应 用 系统 的 用 户 权限 发 生变 动 时 , 应 当 按照 IT 一 般 控制 中 相关 的 流 
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程 进行 变更 处 理 。 特 别 需要 注意 的 是 : 对 于 特殊 授权 类 权限 ， 需 要 在 使 用 
完毕 后 及 时 收回 。 对 于 临时 权限 申请 期 限 ， 由 于 各 类 业务 性 质 的 不 同 ， 无 
法 明确 一 个 固定 的 期 间 ， 需 要 申请 和 审批 人 根据 具体 的 操作 业务 种 类 和 性 
质 确定 申请 期 限 ( 对 于 临时 授权 期 限 要 根据 实际 业务 内 容 和 工作 量 进行 稀 
量 判断 )， 管 理 员 按照 该 期 间 及 时 收回 权限 。 


4.5.3 ”应 用 系统 自动 控制 


1. 应 用 系统 自动 控制 方式 


信息 系统 可 利用 数据 类 型 校 验 、 重 复 输入 校 验 、 批 总 量 控 制 、 序 列 校 
验 、 系 统 匹配 、 逐 一 检测 、 编 辑 校对 、 预 定 的 数据 列表 、 授 权 检 查 、 有 效 
性 检查 等 技术 控制 ， 对 应 用 系统 的 输入 、 处 理 和 输出 进行 有 效 控 制 。 

(1) 对 输入 数据 的 确认 

应 用 系统 如 果 受 到 故意 或 意外 无 效 数据 的 攻击 ， 会 导致 系统 故障 、 数 
据 滥用 或 通过 系统 本 身 安 全 漏洞 进行 欺诈 犯罪 等 事件 的 发 生 。 因 此 应 用 系 
统 采用 数据 确认 控制 将 数据 的 输入 范围 控制 在 一 个 合理 的 范围 内 ， 即 限制 
在 系统 有 效 处 理 能 力 之 内 。 

@ 定期 评审 关键 的 数据 文件 的 内 容 ， 确 保 其 有 效 性 和 完整 性 。 

@@ 检查 硬 拷贝 的 输入 文件 ， 确 保 输入 数据 没有 经 过 任何 未 经 授权 的 
更 改 。 

@ 建立 错误 数据 的 相应 程序 。 

@ 建立 程序 对 于 可 怀疑 的 数据 进行 进一步 检查 。 

@ 规定 数据 输入 过 程 中 所 涉及 的 所 有 人 员 的 职责 。 

(2) 对 数据 内 部 处 理 的 控制 

已 经 正确 输入 的 数据 也 可 能 因为 处 理 的 错误 或 人 为 的 改动 而 被 破坏 ， 
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因此 为 了 保证 数据 在 处 理 过 程 中 的 安全 性 ， 应 对 数据 处 理 进行 以 下 控制 : 

中 批 处 理 控制 ， 确 保 事 务 更 新 后 保持 数据 文件 的 平衡 一 致 。 

@ 确认 系统 产生 数据 的 正确 性 。 

@ 确认 数据 传输 过 程 中 的 完整 性 。 

动 检查 确保 应 用 系统 运行 的 时 间 正 常 。 

@ 检查 确保 应 用 系统 运行 的 顺序 正常 。 

(3) 对 输出 的 数据 进行 确认 

尽管 系统 的 输入 是 正确 的 ， 但 输出 仍然 可 能 是 错误 的 或 是 经 过 非法 修 
改 的 。 为 确保 输出 信息 的 正确 性 ， 要 对 输出 的 数据 进行 确认 ， 主 要 包括 ; 

QD 可 信 性 检查 ， 确 认输 出 的 数据 是 否 合理 。 

@ 数据 一 致 性 检查 。 

(8 相应 输出 确认 测试 的 程序 。 

二 数据 输出 过 程 中 相关 人 员 的 责任 。 

《4) 例外 处 理 

相关 岗位 的 操作 人 员 对 操作 过 程 中 出 现 的 例外 活动 ， 根 据 情 况 将 例外 
事件 情况 及 时 汇报 给 主管 领导 进行 处 理 。 


2 应 用 系统 控制 识别 


(1) 应 用 系统 控制 的 概念 

在 系统 控制 中 将 IT 与 内 部 控制 相 结合 , 主要 涉及 系统 安全 和 系统 运行 
两 方面 内 容 。 系 统 安全 主要 包括 : 网 络 安全 、 应 用 系统 安全 、 数 据 安全 等 。 
系统 运行 主要 包括 : 程序 设计 、 运 行 维护 、 用 户 访问 、 审 核验 证 、 身 份 确 
认 、 系 统 应 变 控制 与 设置 、 不 相 容 职务 的 设置 与 验证 及 信息 系统 基础 环境 
的 设置 和 验证 等 。 
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应 用 系统 控制 是 内 部 控制 体系 建设 的 重要 组 成 部 分 ， 也 是 内 部 控制 体 
系 检查 的 重要 工作 内 容 之 一 。 

《2) 应 用 系统 控制 的 形成 

在 日 常 流程 管理 中 , 建立 了 内 部 控制 ,有 很 多 的 审批 手续 、 监 控 手 续 ， 
建立 了 很 多 的 一 些 管理 的 措施 ， 这 些 措 施 ， 除 了 我 们 的 手工 流程 以 外 ， 跟 
系统 非常 相关 。 各 应 用 系统 的 审批 、 授 权 ， 这 些 都 是 内 峙 的 业务 流程 ， 这 
些 控制 是 属于 应 用 系统 相关 的 一 些 控制 措施 。 部 分 由 手工 控制 的 风险 点 由 
于 在 手工 流程 中 引入 信息 系统 管理 后 ， 将 原 手工 控制 升级 为 应 用 系统 进行 
自动 控制 。 

例如 ， 会 计 业 务 处 理 对 记 账 凭证 的 编制 和 录 和 人 不 完整 、 不 准确 的 应 用 
系统 控制 为 : 只 有 借贷 方 金额 相等 的 凭证 才能 被 系统 生成 并 保存 。 


3. 应 用 系统 控制 文档 


参考 “4.4 业务 层面 内 部 控制 建设 ”的 内 容 。 实 务 中 , 业务 流程 的 手工 
控制 与 应 用 系统 控制 融合 在 一 起 。 


4. ERP 应 用 系统 控制 


(1) ERP 简介 

企业 资源 规划 系统 (ERP ) 是 一 个 集成 系统 ， 它 整合 了 企业 财务 、 销 
售 、 采 购 、 人 力 资源 管理 等 多 方面 的 资源 。 以 广泛 使 用 的 SAP R/3 为 例 ， 
系统 模块 ( 含 BASIS ) 包括 财务 (FI )、 成 本 管理 (CO )、 生 产 计 划 (PP )、 
存货 和 采购 (MM )、 销 售 (SD )、 人 力 资 源 (HR ) 等 模块 。 

各 模块 功能 如 下 。 

FI 财务 会 计 模 块 ” 集 中 公司 有 关 会 计 的 所 有 资料 ,提供 完整 的 文献 和 
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全 面 的 资讯 ， 同 时 作为 企业 实行 控制 和 规划 的 最 新 基础 。 
CO 管理 会 计 模 块 ”是 公司 管理 系统 中 规划 与 控制 工具 的 完整 体系 ， 
具有 统一 的 报表 系统 ， 协 调 公司 内 部 处 理 业务 的 内 容 和 过 程 。 
PP 生产 计划 ”提供 各 种 制造 类 型 的 全 面 处 理 : 从 重复 性 生产 、 订 制 
生产 、 订 装 生 产 ， 加 工 制造 、 批 量 及 订 存 生产 直至 过 程 生产 ， 具 有 扩展 
MPR II 的 功能 。 另 外 还 可 以 选择 连接 PDC, 制程 控制 系统 , CAD 和 PDM。 
MM 物料 管理 模块 ”以 工作 流程 为 导向 的 处 理 功能 对 所 有 采购 处 理 最 
佳 化 ， 可 自动 评估 供应 商 ， 透 过 精确 的 库存 和 仓储 管理 降低 采购 和 仓储 成 
本 ， 并 与 发 票 核查 相 整 合 。 
SD 销售 与 分 销 模块 ”支持 销售 和 分 销 活动 , 具有 出 色 的 定价 、 订 单 快 
速 处 理 、 按 时 交 货 、 交 互 式 多 层次 可 变 配置 功能 ， 并 直接 与 赢利 分 析 和 生 
产 计 划 模 组 连接 。 
HR 人 力 资源 管理 模块 ”采用 涵盖 所 有 人 员 管 理 任务 和 帮助 简化 与 加 
速 处 理 的 整合 式 应 用 程式 ， 为 公司 提供 人 力 资 源 规划 和 管理 解决 方案 。 
(2) ERP 控制 类 型 和 控制 点 
ERP 系统 控制 ， 一 般 可 以 分 为 以 下 类 型 。 
。 配置 性 控制 ”需要 根据 每 个 企业 的 实际 业务 情况 和 管理 要 求 进行 相 
应 的 客户 化 配置 ， 才 能 达到 企业 的 业务 和 管理 需要 ， 这 些 控制 配制 
后 可 以 自动 实现 ， 如 必须 关联 采购 订单 才能 进行 收 货 操作 。 

。 流程 性 控制 ”虽然 ERP 提供 了 相当 数量 的 自动 控制 , 但 是 部 分 ERP 
自动 控制 仍然 要 结合 业务 流程 中 的 控制 才能 进行 完整 的 业务 操作 ， 
如 月 末 结 账 流程 。 

。 权限 类 控制 ”ERP 为 集成 系统 ， 所 有 公司 的 用 户 权限 在 同一 套 应 用 
系统 中 进行 管理 。 用 户 根 据 拥 有 的 ERP 适当 权限 才能 进行 相应 的 业 
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务 操作 ， 如 A 公司 的 用 户 不 应 有 B 公司 的 业务 操作 权限 ; B 公司 销 
售 部 门 的 用 户 不 应 有 财务 过 账 的 权限 。 
。ERP 固有 控制 ”ERP 提供 的 标准 功能 ， 如 采购 订单 的 金额 根据 采购 
订单 数量 和 价格 自动 计算 得 出 。 
ERP 有 助 于 自动 控制 取代 部 分 手工 控制 。 例 如 ， 信 用 控 制 ， 系 统 设 置 
好 后 ， 超 过 信用 额度 的 订单 就 会 被 系统 自动 冻结 。 
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5.1 ”内 部 控制 执行 


现代 企业 管理 强调 执行 力 ， 执 行 力 就 是 竞争 力 ， 内 部 控制 更 是 如 此 。 
内 部 控制 的 执行 不 仅 直接 关系 控制 活动 的 效果 ， 更 影响 着 企业 在 复杂 竞争 
环境 中 的 生存 与 发 展 。 


5.1.1 ”内 部 控制 执行 的 现状 





1， 内 部 控制 执行 的 重要 性 


内 部 控制 执行 ， 对 发 挥 内 部 控制 体系 的 作用 、 为 企业 实现 目标 提供 合 
理 保 证 至 关 重 要 。 

QD 从 内 部 控制 本 身 的 定义 来 看 。 内 部 控制 本 身 就 包括 内 部 控制 设计 与 
内 部 控制 执行 两 个 方面 。 根 据 《 内 控 规范 》 内 部 控制 是 “由 企业 董事 会 、 
监事 会 、 经 理 层 和 全 体 员工 实施 的 、 旨 在 实现 控制 目标 的 过 程 ”。 它 强 调 的 
是 控制 过 程 的 实施 和 内 部 控制 制度 的 落地 。 因 此 ， 执 行 是 内 部 控制 的 重要 
内 涵 和 根本 要 求 ， 绝 不 能 将 内 部 控制 看 成 一 堆 制度 。 

@) 从 内 部 控制 执行 本 身 来 看 。 内 部 控制 体系 建设 目标 是 生产 优质 的 产 
品 的 话 ， 那 么 内 部 控制 执行 就 是 管理 层 和 员工 按照 规程 〈 内 部 控制 设计 ) 
开动 设备 、 运 转 流 水 线 、 控 制 质量 、 生 产 产品 的 过 程 。 由 此 可 见 ， 规 程 设 
计 得 再 完善 ， 如 果 没 有 严格 按照 规程 操作 ， 要 么 生产 不 出 产品 ， 要 么 生产 
的 产品 不 符合 质量 要 求 。 换 而 言 之 ， 一 套 “ 看 上 去 很 美 ”的 内 部 控制 体系 
如 果 得 不 到 执行 或 执行 不 到 位 ， 就 会 成 为 一 纸 空 文 ， 也 就 不 可 能 对 企业 防 
范 风险 和 实现 经 营 目 标 发 挥 保 证 作用 ， 也 就 失去 了 存在 的 价值 ， 无 端 增加 
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企业 成 本 。 

@) 从 企业 所 处 的 环境 来 看 。 随 着 经 济 全 球 化 , 企业 内 外 部 环境 变化 莫 
测 ， 企 业 竞 争 空前 激烈 。 公 司 面临 着 内 外 部 影响 目标 实现 的 诸多 不 确定 性 
和 风险 。 面 对 这 些 可 能 的 风险 ,包括 在 内 部 控制 执行 过 程 中 遇 到 新 问题 和 
新 情况 ， 只 有 未 雨 岗 缪 ， 建 立 并 切实 有 效 地 执行 内 部 控制 体系 ， 才 有 可 能 
最 大 限度 地 化 解 风 险 或 减少 风险 造成 的 损失 ， 确 保 公司 目标 的 实现 。 


2. 内 部 控制 执行 存在 的 主要 问题 


虽然 大 家 都 认为 内 部 控制 在 提升 管理 水 平和 防范 经 营 风 险 方面 的 作用 
毋庸 置疑 , 但 是 在 内 部 控制 执行 方面 还 是 存在 不 少 问题 。“ 走 形式 ”几乎 成 
为 我 国企 业内 部 控制 体系 建设 和 实施 过 程 中 的 一 个 通病 。 不 少 公司 看 似 对 
内 部 控制 很 重视 ， 甚 至 花 钱 请 咨询 公司 ， 制 定 了 一 大 堆 的 内 部 控制 制度 ， 
以 为 这 样 内 部 控制 就 很 好 了 ， 其 实 那 只 是 一 个 制度 合集 罢了 ， 与 真正 的 内 
部 控制 相差 甚 远 。 

QD 内 部 控制 流 于 形式 。 有 的 企业 虽然 建立 了 内 部 控制 制度 , 但 只 是 将 
制度 “ 写 在 纸 上 、 贴 在 墙 上 、 挂 在 嘴 上 、 没 有 具体 落实 在 行动 上 ”， 形 成 了 
说 和 做 “两 张 皮 ”。 

@ 内 部 控制 的 刚性 不 足 。 一 些 企业 在 处 理 业务 时 不 完全 按 规 定 的 内 部 
控制 程序 和 标准 执行 ， 总 是 强调 灵活 性 和 具体 情况 具体 办 理 ， 动 不 动 就 是 
“内 部 控制 制度 不 符合 实际 情况 ， 按 照 内 部 控制 制度 做 ， 没 法 做 生意 ”。 特 
别 是 ， 很 多 企业 领导 不 管 在 接受 外 界 媒 体 采访 ， 还 是 公司 内 部 会 议 上 ， 都 
再 三 强调 非常 重视 内 部 控制 ， 但 实际 上 ， 他 们 往往 逾越 内 部 控制 ， 导 致 上 
行 下 效 ， 内 部 控制 随意 遭 到 践踏 。 

@ 缺乏 内 部 控制 执行 的 激励 约束 机 制 。 se 
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会 规 实务 指南 


一 部 分 企业 没有 将 内 部 控制 的 执行 情况 纳入 业绩 考核 评价 和 奖惩 制度 体系 
中 ， 在 很 大 程度 上 降低 了 内 部 控制 的 效能 。 
要 想 解 决 上 述 问题 ， 内 部 控制 体系 有 效 运行 、 有 力 执行 是 关键 。 


5.1.2 ”内 部 控制 执行 的 内 容 





按照 控制 活动 的 要 求 ， 从 系统 控制 出 发 ， 内 部 控制 执行 主要 包括 以 下 
工作 内 容 。 


1. 健全 内 部 控制 组 织 机 构 ， 了 明确 职责 权限 


《内 控 规 范 》 第 十 二 条 规定 :“ 企 业 应 当成 立 专门 机 构 或 者 指定 适当 的 
机 构 具 体 负责 组 织 协调 内 部 控制 的 建立 实施 及 日 常 工作 。”《 内 控 规 范 》 第 
十 四 条 规定 :“ 企 业 应 当 结 合 业务 特点 和 内 部 控制 要 求 设置 内 部 机 构 , 明确 
权 责 权限 ， 将 权利 与 责任 落实 到 各 责任 单位 。 

实施 内 控 规 范 不 是 一 次 性 实现 的 目标 ， 内 部 控制 体系 建设 是 一 个 长 期 
持续 不 断 完善 的 过 程 ， 它 必须 能 有 机 地 融入 一 个 公司 的 组 织 框架 体系 。 由 
管理 层 关 键 成 员 ( 通常 是 首席 执行 官 、 首 席 财务 官 ) 领衔 内 部 控制 组 织 体 
系 , 并 得 到 审计 委员 会 大 力 协 助 , 确保 管理 层 的 决心 与 投入 是 持续 不 断 的 ， 
这 对 于 建立 有 效 的 内 部 控制 体系 至 关 重要 。 

在 第 4 章 我 们 介绍 了 内 部 控制 组 织 体 系 ， 根 据 《 内控 规 范 》 要 求 ， 内 
部 控制 组 织 体系 及 职责 权限 如 图 5-1 所 示 。 

为 了 不 断 适 应 内 外 部 发 展 变化 ， 公 司 内 部 控制 的 组 织 体系 需要 不 断 健 
全 和 完善 ,为 内 部 控制 有 效 运行 提供 保证 ， 完 善 公司 管理 ， 为 实现 公司 目 
标 保驾 护航 。 
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对 董事 会 建立 与 实施 
内 部 控制 进行 监督 《内 
控 规 范 》 第 十 二 条 ) 









负责 内 部 控制 的 建立 
健全 和 有 效 实 施 (《 内 控 
规范 》 第 十 二 条 ) 





下 设 机 构 











负责 审查 企业 内 部 控制 , 监 
督 内 部 控制 的 有 效 实施 和 内 
部 控制 自我 评价 情况 (《 内 控 
规范 》 第 十 三 条 ) 
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负责 组 织 领导 企业 内 
部 控制 的 日 常 运行 〈《 内 
控 规 范 》 第 十 二 条 ) 


















内 部 审计 部 门 
对 内 部 控制 的 有 效 性 
进行 监督 检查 (《 内 控 规 
范 》 第 十 五 条 ) 






负责 组 织 协调 内 部 控制 
的 建立 实施 及 日 常 工作 监督 检查 
(《 内 控 规范 》 第 十 二 条 ) 










掌握 内 部 机 构 设置 、 岗 位 职责 、 

业务 流程 等 情况 ,明确 权 责 分 配 ， 
正确 行使 职权 (《 内 控 规 范 ) 第 十 
四 条 ) 


图 5-1 内 部 控制 组 织 体系 及 职责 权限 


2. 完善 内 部 控制 执行 机 制 


完善 内 部 控制 执行 机 制 主 要 是 围绕 保障 控制 活动 的 实施 ， 建 立 并 运行 
一 整套 立足 激励 与 约束 、 目 标明 确 、 逻 辑 关系 清晰 的 工作 制度 、 程 序 、 办 
法 和 措施 。 根 据 控 制 活动 的 需要 ， 内 部 控制 执行 机 制 包括 培训 机 制 和 监督 
检查 机 制 ， 两 者 相辅相成 ， 共 同 构 成 内 部 控制 执行 的 执行 机 制 。 
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(1) 培训 机 制 

实践 证 明 ， 内 部 控制 体系 建设 需要 掌握 内 部 控制 知识 和 技能 的 员工 队 
伍 。 因 此 ， 加 强 内 部 控制 培训 不 仅 必要 ， 而 且 十 分 重要 ， 它 是 营造 内 部 控 
制 氛围 、 学 习 和 掌握 内 部 控制 知识 、 增 强 内 部 控制 意识 、 提 高 内 部 控制 能 
力 的 有 效 途 径 。 

在 本 书 第 4 章 “ 内 部 控制 体系 建设 ”中 ， 提 到 了 培训 也 要 贯穿 内 部 控 
制 体系 建设 始终 。 

QD 领导 重视 ,各 级 领导 要 高 度 重 视 内 部 控制 学 习 培 训 , 在 各 种 会 议 上 ， 
要 强调 内 部 控制 的 重要 意义 ， 以 一 贯 言行 和 高 度 的 内 部 控制 意识 ， 带 动员 
工 对 内 部 控制 认识 的 提高 ， 为 控制 活动 的 执行 莫 定 良好 的 基础 。 

@ 多 种 形式 。 在 专门 培训 的 同时 , 采取 多 种 形式 , 少 花 钱 ， 人 少 占用 工 
作 时 间 ， 尽 量 取得 较 好 的 效果 。 实 践 证 明 ， 在 工作 中 学 习 、 同 事 间 相互 交 
流 、 交 叉 培 训 、 与 业务 部 门 交流 学 习 、 与 标杆 公司 交流 学 习 等 ， 都 是 很 好 
的 形式 。 

@@ 融入 业务 。 培训 内 容 应 包含 内 部 控制 理论 知识 、 先 进 企业 的 经 验 分 
享 等 ， 更 重要 的 是 要 与 企业 实际 相 结合 ， 与 企业 实际 业务 结合 起 来 。 

(@@ 全 员 参 与 。 要 针对 内 部 控制 涉及 的 所 有 业务 和 人 员 , 覆盖 全 员 和 经 
营 全 过 程 ， 实 施 全 员 培 训 ， 在 每 个 业务 部 门 造就 一 批 内 部 控制 专家 ， 更 好 
地 将 内 部 控制 与 业务 融合 起 来 。 

(2) 监督 检查 机 制 

内 部 控制 监督 检查 是 内 部 控制 的 有 机 组 成 部 分 ， 是 促进 内 部 控制 有 力 
执行 的 重要 手段 。 无 论 美国 的 《 萨 班 斯 法 案 》 还 是 我 国 的 《内 控 规范 》 都 
对 实施 内 部 控制 监督 检查 做 出 了 明确 规定 COSO 于 2009 年 2 月 4 日 发 布 
了 《内 部 控制 系统 监控 指南 》( Guidance on Monitoring Internal Control 
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Systems )， 帮 助 企业 有 效 地 执行 内 部 控制 监督 。 

1 ) 监督 检查 内 容 

公司 内 部 控制 监督 检查 机 制 ， 核 心 内 容 为 持续 监督 、 独 立 评估 、 缺 陷 
报告 和 整改 。 

持续 监督 是 在 日 常 经 营 过 程 中 进行 的 ， 包 括 日 常 的 管理 和 监督 活动 ， 
以 及 员工 在 履行 职责 时 所 采取 的 检查 内 部 控制 执行 质量 的 行为 。 持 续 监 督 
分 为 日 常 监督 和 专项 监督 。 日 常 监督 是 指 企业 对 建立 与 实施 内 部 控制 的 情 
况 进 行 常规 、 持 续 的 监督 检查 ,如 财务 部 门 对 费用 的 审核 、 领 导 的 审批 等 ， 
内 部 控制 机 构 日 常 监督 和 综合 考核 等 ; 专项 监督 是 指 在 企业 发 展 战略 、 组 
织 结构 、 业 务 流程 、 关 键 岗 位 员工 等 发 生 较 大 调整 或 变化 的 情况 下 ， 对 内 
部 控制 的 某 一 或 者 某 些 方面 进行 有 针对 性 的 监督 检查 。 持 续 监 督 体现 了 经 
常 性 和 持续 作用 ， 是 内 部 控制 监督 检查 的 重要 基础 。 

独立 评估 是 独立 于 控制 活动 之 外 而 采取 的 定期 评估 行为 。 它 是 基于 持 
续 监 督 ， 由 内 、 外 部 审计 机 构 针 对 内 部 控制 体系 运行 是 否 有 效 而 定期 实施 
的 检查 测试 ， 如 内 部 控制 有 效 性 测试 。 

缺陷 报告 和 整改 在 之 后 第 4 ) 点 单独 讲述 。 

2 ) 测试 检查 

测试 检查 是 指 在 内 部 控制 日 常 监督 检查 的 基础 上 ， 由 有 关 部 门 或 单位 
组 织 的 对 内 部 控制 设计 和 执行 的 有 效 性 进行 的 检查 测试 ， 并 根据 检查 结果 
对 内 部 控制 的 有 效 性 做 出 评价 。 测 试 检查 根据 测试 主体 和 测试 范围 及 效力 
不 同 ， 分 为 管理 层 测试 、 专 项 测试 、 自 测 等 。 

Q 管理 层 测试 。《 内 控 规 范 》 要 求 对 公司 内 部 控制 的 有 效 性 进行 自我 
评价 ， 披 圳 年度 自我 评价 报告 。 管 理 层 测试 是 针对 公司 内 部 控制 设计 与 运 
行 的 有 效 性 ， 由 公司 管理 层 授权 内 审 部 门 或 者 内 部 控制 专门 机 构 具 体 实 施 
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的 监督 检查 ， 并 出 具 内 部 控制 自我 评价 报告 的 过 程 。 通 过 管理 层 测试 ， 发 
现 内 部 控制 设计 和 执行 有 效 性 的 缺陷 ， 并 按照 缺陷 认定 标准 ， 对 控制 缺陷 
进行 分 析 和 评价 ， 确 认 一 般 缺 陷 、 重 要 缺陷 和 重大 缺陷 ， 同 时 对 有 效 性 问 
题 的 整改 情况 进行 跟 进 。 

四 专项 测试 。 专 项 测试 是 内 部 控制 管理 部 门 针对 新 建 单位 、 管 理 薄弱 
环节 、 高 风险 领域 和 关键 管理 岗位 进行 的 专题 检查 测试 ， 或 是 在 企业 发 展 
战略 、 组 织 结构 、 经 营 活动 、 业 务 流 程 、 关 键 岗位 员工 等 发 生 较 大 调整 或 
变化 的 情况 下 ， 对 内 部 控制 的 某 一 或 者 某 些 方面 进行 的 有 针对 性 的 监督 检 
查 。 例 如 ， 针 对 近年 来 发 生 过 重大 风险 事件 的 业务 ， 审 计 发 现 违规 违纪 案 
件 的 单位 , 对 内 部 控制 体系 运行 过 程 中 容易 出 现 控制 缺陷 的 环节 进行 检查 ， 
对 新 建 单位 、 新 增 业 务 、 特 殊 风 险 业 务 的 检查 ， 对 人 、 财 、 物 管理 部 门 有 
业务 处 置 权 的 关键 岗位 的 监督 等 。 

专项 测试 主要 是 以 风险 为 导向 而 组 织 的 某 业 务 领 域 的 检查 测试 ， 一 般 
没有 固定 的 周期 和 时 间 规 定 ， 可 以 根据 需要 采取 定期 或 不 定期 的 检测 。 

@@ 自 测 。 自 测 是 指 下属 公 司 的 自我 测试 。 它 是 由 下 属 公 司 针对 内 部 控 
制 设计 和 运行 的 有 效 性 ， 由 下 属 公司 管理 层 授权 相关 部 门 根 据 总 部 内 部 控 
制 测 试 要 求 ， 具 体 实施 检查 并 出 具 本 公司 内 部 控制 自我 评价 报告 的 过 程 。 
下 属 公司 根据 总 部 的 安排 对 内 部 控制 执行 情况 进行 自我 测试 和 评价 ， 并 建 
立 和 保留 完整 、 规 范 的 测试 记录 文档 。 自 我 测试 结束 后 ， 出 具 本 单位 内 部 
控制 的 有 效 性 声明 。 

下 属 自我 测试 参考 管理 层 的 方法 和 程序 进行 ， 但 需要 结合 本 单位 的 实 
际 ， 考 虑 经 营 管理 的 薄弱 环节 ， 考 虑 自身 的 业务 特点 、 风 险 变化 等 因素 ， 
与 提升 企业 经 营 管理 水 平 结合 起 来 。 

自我 测试 是 执行 内 部 控制 监督 检查 机 制 的 重要 方式 。 为 了 保证 自我 测 
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试 的 效果 ， 需 要 制定 专门 制度 ， 明 确 谁 是 责任 人 、 什 么 时 间 检 查 、 检 查 的 
内 容 是 什么 、 发 现 问题 怎么 整改 、 谁 负责 整改 措施 的 验证 ， 以 及 出 现 重大 
缺陷 和 重要 缺陷 谁 负 责 、 负 什么 责任 、 处 罚 措施 是 什么 ， 等 等 。 

3 ) 外 部 审计 

外 部 审计 是 指 接受 外 部 审计 师 对 企业 内 部 控制 设计 有 效 性 和 执行 有 效 
性 的 检查 评价 ， 并 根据 检查 结果 对 内 部 控制 有 效 性 发 表意 见 。 

外 部 审计 是 独立 于 控制 活动 之 外 而 采取 的 定期 评估 行为 ， 是 确保 内 部 
控制 体系 合法 、 合 规 运 行 的 重要 手段 ， 是 独立 判断 企业 内 部 控制 环境 建设 
和 业务 控制 的 权威 性 措施 ， 它 在 内 部 控制 体系 的 运行 过 程 中 发 挥 着 不 可 替 
代 的 作用 。 

测试 的 范围 、 方 法 、 内 容 等 ， 将 在 本 书 第 6 章 详细 介绍 。 

4 ) 缺陷 报告 和 整改 

@ 缺陷 定义 。 缺 陷 是 指 在 内 部 控制 过 程 中 , 当 某 项 控制 的 设计 或 运行 
不 能 使 管理 层 或 员工 在 正常 行使 其 职责 过 程 中 及 时 防止 或 发 现 错 报时 ， 表 
明 存 在 内 部 控制 缺陷 。 缺 陷 按 其 影响 程度 不 同 可 分 为 一 般 缺 陷 、 重 要 缺陷 
和 重大 缺陷 。 

@@ 缺陷 认定 。 根 据 上 述 的 各 项 测试 后 , 汇总 发 现 的 缺陷 。 依 据 缺 陷 认 
定 标准 ， 识 别 出 一 般 缺 陷 、 重 要 缺陷 和 重大 缺陷 。 

缺陷 的 分 类 、 认 定 标 准 、 方 法 与 程序 等 ， 将 在 本 书 第 6 章 详细 介绍 。 

@) 缺陷 汇报 。 通 过 持续 监督 和 独立 评估 获取 的 来 源 于 内 部 认定 和 外 部 
审计 的 缺陷 , 由 内 审 部 门 或 者 专门 的 内 部 控制 机 构 根 据 缺 陷 的 性 质 和 影响 ， 
按 以 下 要 求 进行 报告 : 

.。 对 于 一 般 缺 陷 ， 向 管理 层 汇报 。 

。 重要 缺陷 在 认定 后 ， 向 管理 层 和 审计 委员 会 汇报 ， 必 要 时 向 董事 会 
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汇报 。 

。 重 大 缺陷 在 认定 后 ， 向 管理 层 、 审 计 委 员 会 和 董事 会 汇报 。 

@ 缺陷 整改 。 缺 陷 整 改 工作 做 得 如 何 , 对 能 否 通过 内 部 控制 审计 产生 

直接 影响 。 

A， 缺陷 整改 的 责任 。 为 了 确保 整改 按时 有 效 执行 ， 明 确 缺 陷 整改 责 

任 主体 是 关键 。 

。 一 般 缺 陷 ， 由 缺陷 发 现 单位 或 部 门 自行 整改 。 

。 重 要 缺陷 ， 由 缺陷 发 现 单位 或 部 门 提出 整改 建议 ， 包 括 整改 时 限 ， 
报 内 审 部 门 或 内 部 控制 专门 机 构 审核 同意 后 实施 。 

。 重大 缺陷 ， 由 内 审 部 门 或 内 部 控制 专门 机 构 提 出 整改 建议 ， 包 括 整 
改 时 限 ， 报 管理 层 批准 后 实施 。 

内 审 部 门 或 内 部 控制 专门 机 构 跟 进 缺陷 整改 工作 ， 整 改 措施 落实 后 经 

过 一 定时 期 的 运行 ， 进 行 跟 进 测试 ， 评 价 整改 是 否 有 效 。 

B、， 缺陷 整改 特别 关注 事项 。 

。 有 舞 痊 事项 。 内 部 控制 审计 中 ， 发 现 管理 层 的 舞 浴 ， 即 意味 着 内 部 控 
制 无 效 。 建 立 并 完善 反 舞 萝 的 内 部 控制 ， 加 强 对 反 舞 潍 内 部 控制 的 
监督 检查 ， 及 时 发 现 和 纠正 内 部 控制 执行 过 程 中 的 问题 ， 通 过 积极 
的 防 控 措施 ， 从 源头 上 预防 舞弊 的 发 生 。 

。 年 末 一 次 性 完成 的 财务 处 理事 项 。 主 要 是 指 财务 报告 流程 。 财 务 报 
告 流程 多 为 年 度 控制 ， 即 只 在 年 末 发 生 一 次 ， 发 现 缺 陷 则 没有 改进 
的 空间 和 余地 。 如 果 不 做 提前 考虑 ， 不 采取 预防 性 措施 ， 一 旦 测试 
发 现 问题 ， 后 果 将 难以 挽回 。 因 此 ， 尽 早 查找 执行 中 可 能 存在 的 问 
题 ， 并 在 年 未 前 使 所 发 现 的 缺陷 得 到 有 效 整改 ， 确 保 这 些 年 度 财务 
报告 流程 的 控制 一 次 通过 。 


Sk 
SO 
oo 





内 部 控制 执行 与 维护 


5.2， 内 部 控制 维护 


《内 控 规 范 》 第 八条 规定 :“ 企 业 应 当 建立 内 部 控制 实施 的 激励 约束 机 
制 ， 将 各 责任 单位 和 全 体 员工 实施 内 部 控制 的 情况 纳入 绩效 考评 体系 ， 促 
进 内 部 控制 的 有 效 实施 。” 内 部 控制 涉及 企业 经 营 管理 的 全 过 程 和 各 个 环 
节 ， 是 一 项 由 全 体 员 工 共同 参与 和 实施 的 系统 性 工程 。 针 对 内 部 控制 的 这 
一 特点 ， 以 人 为 本 ， 建 立 权 责 明晰 、 奖 惩 结合 的 激励 与 约束 机 制 ， 即 责任 
机 制 与 奖惩 机 制 ， 确 保 内 部 控制 体系 持续 有 效 运 行 。 


1. 责任 机 制 


内 部 控制 责任 机 制 是 以 内 部 控制 组 织 体系 为 基础 ， 旨 在 明确 责任 、 落 实 
责任 、 纠 正 过 失 ,， 构 建 清晰 、 严 明 的 工作 责任 环境 ， 促 进 内 部 控制 责任 到 位 
和 执行 能 力 提升 的 一 整套 制度 、 办 法 和 运行 程序 。 主 要 反映 在 以 下 几 方 面 。 

(1) 明确 责任 主体 

公司 CEO 和 CFO 就 公司 内 部 控制 有 效 性 发 表 声明 ， 并 对 内 部 控制 审 
计 中 发 现 的 控制 缺陷 负责 。 

下 属 公司 的 CEO 和 CFO 就 本 单位 内 部 控制 有 效 性 发 表 声明 ， 并 对 内 
部 控制 审计 中 发 现 的 控制 缺陷 负责 。 

没有 通过 审计 的 单位 ， 该 单位 的 CEO 和 CFO 承担 主要 责任 。 

(2) 责任 分 解 

公司 CEO 和 CFO 将 内 部 控制 责任 横向 、 纵 向 进行 分 解 ， 将 责任 逐 级 
落实 到 总 部 职能 部 门 及 岗位 和 下 属 公 司 。 

下 属 公司 的 CEO 和 CFO 则 将 内 部 控制 责任 逐 级 分 解 到 具体 部 门 及 


岗位 。 
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这 样 ， 整 个 公司 的 内 部 控制 责任 就 层 层 分 解 到 人 ， 责 任 到 人 。 

(3) 责任 追究 

如 果 在 内 部 控制 测试 检查 中 发 现 问 题 ， 按 照 缺 陷 级 别 落实 相应 人 的 
责任 。 

QD 发 现 导致 内 部 控制 失效 的 重要 缺陷 和 重大 缺陷 或 发 生 重大 风险 事 
件 的 ， 追 究 有 关 单 位 主要 领导 和 相关 人 员 的 责任 。 

@@ 对 发 现 的 一 般 性 缺陷 ， 加 强 流程 负责 人 的 考核 和 培训 。 

地 对 关键 岗位 不 能 适应 工作 要 求 的 人 员 ， 要 及 时 调整 工作 岗位 。 

(4) 需要 注意 的 问题 

QD 责任 定位 的 边界 要 清晰 ， 不 存在 交叉 ， 否 则 存在 责任 缺陷 。 

@ 责任 必须 经 过 相应 责任 人 确认 ， 否 则 为 无 效 责任 。 

@@ 责任 追究 办 法 必须 明示 , 为 责任 人 所 完整 掌握 , 否则 责任 将 失去 约 
束 力 。 

@ 责任 问题 核实 后 , 追究 责任 必须 依据 办 法 坚决 执行 , 否则 影响 责任 
机 制 的 运行 质量 ， 或 导致 责任 机 制 失 效 。 





《相关 链接 
单位 部门) 负责 人 内 部 控制 责任 承诺 书 举例 摘要) 
根据 公司 内 部 控制 体系 建设 要 求 ， 确 保全 面 通过 外 部 审计 。 为 做 好 
本 单位 (部门 ) 内 部 控制 管理 工作 ， 本 人 向 公司 承诺 : 
。 认真 开展 内 部 控制 体系 文件 的 学 习 、 培 训 和 宣 贯 工作 。 在 组 织 本 
单位 (部门) 全 员 学 习 内 部 控制 体系 的 基础 上 ， 要 让 每 名 流程 负 
责 人 知道 做 什么 ,怎么 做 ， 贸 下 什么 证 据 ; 知道 哪些 是 关键 控制 ， 
怎么 控制 ; 知道 控制 到 了 什么 程度 ， 达 到 什么 标准 。 
e 单位 (部门 ) 领导 是 本 单位 ( 部门) 内 部 控制 第 一 责任 人 。 督 促 








‘198, 





一 一 一 一 一 一 一 一 一 一 一 一 一 舍 @@ 内 部 控制 执行 与 维护 


流程 负责 人 按照 内 部 控制 要 求实 施 ， 及 时 整改 缺陷 。 
e 确保 内 部 控制 测试 不 出 现 控 制 缺 陷 。 将 责任 分 解 到 人 ， 层 层 把 关 ， 
落实 责任 。 


。 如 违反 上 述 承 诺 ， 造 成 本 单位 ( 部门 ) 发 生 控制 缺陷 ， 按 照 公司 
内 部 控制 考核 机 制 要 求 规定 接受 处 罚 。 


承诺 人 : 王 华 
2010 年 x 月 xX 日 





2， 奖惩 机 制 


内 部 控制 奖惩 机 制 是 以 考核 为 基础 ， 通 过 利益 手段 驱动 内 部 控制 的 有 
效 执行 。 

内 审 部 门 或 者 内 部 控制 专门 机 构 根 据 管理 层 测 试 、 专 项 测试 、 自 测 、 
外 部 审计 、 缺 陷 评 估 结 果 和 日 常 工作 考核 情况 ， 对 公司 各 部 门 、 下 属 公司 
内 部 控制 体系 运行 情况 进行 评价 ， 并 编制 公司 内 部 控制 评价 报告 ， 报 管理 
层 审核 确认 。 

内 部 控制 体系 评价 结果 是 公司 管理 层 对 公司 各 部 门 、 下 属 公司 高 级 管 
理 人 员 进 行业 绩 考核 、 实 施 奖惩 的 重要 依据 和 参考 。 

把 内 部 控制 与 风险 管理 体系 建设 和 执行 评价 结果 纳 人 高 管 人 员 考核 和 
离 任 、 责 任 审计 中 ， 并 与 职位 晋升 、 薪 酬 分 配 挂钩 ， 逐 步 构建 支撑 内 部 控 
制 与 风险 管理 体系 持续 运行 的 长 效 机 制 。 


4 J 相关 链接 





奖惩 条 例 举例 〈 摘 要 ) 
。 被 评价 单位 测试 检查 发 现 的 问题 ， 经 过 分 析 被 认定 为 未 构成 缺 
陷 的 ， 被 评价 单位 需 根据 整改 建议 的 要 求 在 规定 时 间 内 组 织 完 
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成 整改 。 

。 被 评价 单位 测试 检查 发 现 的 问题 ,经 过 分 析 被 认定 为 一 般 缺 陷 的 ， 
扣 减 被 评价 单位 管理 层 薪酬 5%。 

。 被 评价 单位 测试 检查 发 现 问 题 并 被 认定 为 重要 缺陷 的 ， 扣 减 被 评 
价 单位 管理 层 薪酬 10%。 


。 被 评价 单位 测试 检查 发 现 问题 并 被 认定 为 重大 缺陷 的 ， 扣 减 被 评 
价 单位 管理 层 薪酬 30%。 

。 被 评价 单位 出 现 重 要 缺陷 或 重大 缺陷 的 ， 除 经 济 处 罚 外 ， 给 予 被 
评价 单位 主要 领导 相应 的 行政 处 分 ， 如 通报 批评 、 责 成 公开 检讨 、 
降 职 降 薪 和 调整 岗位 等 。 
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内 部 控制 评价 是 按照 规定 的 程序 、 方 法 和 标准 ， 对 已 经 建立 和 实施 的 
内 部 控制 体系 ， 从 设计 有 效 性 和 执行 有 效 性 两 个 方面 对 内 部 控制 有 效 性 进 
行 测试 、 评 估 和 报告 的 过 程 。 

内 部 控制 评价 包括 内 部 控制 测试 、 缺 陷 评 估 和 评价 报告 等 。 

Q@ 内 部 控制 测试 是 按照 规定 的 程序 、 方 法 和 标准 , 针对 财务 报告 控制 
目标 ， 对 公司 内 部 控制 体系 设计 有 效 性 和 执行 有 效 性 进行 检查 ， 旨 在 发 现 
内 部 控制 体系 在 设计 层面 和 执行 层面 是 否 存在 缺陷 。 

@ 缺陷 评估 是 以 规定 的 程序 、 方 法 和 标准 , 对 内 部 控制 测试 发 现 的 缺 
陷 进 行 分 析 ， 评 佑 缺陷 对 内 部 控制 的 影响 程度 的 过 程 。 

@ 评价 报告 是 在 测试 和 缺陷 评估 结果 的 基础 上 , 根据 公司 对 外 披露 和 
内 部 控制 管理 的 不 同 需 要 ， 对 内 部 控制 有 效 性 进行 评价 及 报告 的 过 程 。 

内 部 控制 评价 主要 内 容 如 图 6-1 所 示 。 






。 ，. 内 部 控制 设 
测试 方法 : 询 ma 
问 、 观 察 、 检 查 、 


再 执行 


缺陷 评估 标 
准 : 定性 、 定 量 







性 评价 ， 缺 陷 























评价 报告 


内 音 仿制 | | . 
内 部 控制 _ >| 缺陷 评估 

测试 | 
设计 有 效 性 

















执行 有 效 性 重要 缺陷 





重大 缺陷 


图 6-1 内 部 控制 评价 的 主要 内 容 
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6.1 内 部 控制 测试 
6.1.1 ”内 部 控制 测试 概述 


1. 内 部 控制 测试 的 概念 

内 部 控制 测试 是 按照 规定 的 程序 、 方 法 和 标准 ， 对 公司 内 部 控制 体系 
设计 有 效 性 和 执行 有 效 性 进行 检查 , 查找 内 部 控制 设计 和 执行 方面 的 问题 ， 
为 内 部 控制 体系 有 效 性 提供 合理 保证 。 测 试 主要 包括 以 下 内 容 : 

@@ 根据 设计 和 执行 有 效 性 评价 的 要 求 , 对 公司 层面 、 业 务 活 动 层 面 和 
IT 控制 有 效 性 分 别 进行 测试 。 

@ 对 测试 发 现 的 缺陷 进行 评估 并 分 类 。 

@ 根据 测试 结果 ， 编 制 测试 报告 。 

内 部 控制 测试 主要 内 容 如 图 6-2 所 示 。 













内 部 控制 设计 
与 执行 情况 、 缺 
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定 人 性、 定量 
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内 部 控制 测试 







执行 有 效 性 





公司 层面 控制 业务 层面 控制 





图 6-2 ”内 部 控制 测试 的 主要 内 容 
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2. 测试 的 分 类 


按照 不 同 的 标准 有 不 同 的 分 类 ， 根 据 上 述 内 部 控制 测试 的 概念 ， 我 们 
可 以 将 内 部 控制 测试 分 为 设计 有 效 性 测试 和 执行 有 效 性 测试 两 种 。 

(1) 设计 有 效 性 测试 

设计 有 效 性 测试 是 通过 一 定 的 方法 评价 内 部 控制 体系 的 设计 是 否 能 够 
有 效 地 防范 风险 ， 为 实现 内 部 控制 目标 提供 合理 的 保证 ， 发 现 内 部 控制 设 
计 方 面 存在 的 问题 ， 提 出 整改 建议 。 

《2) 执行 有 效 性 测试 

执行 有 效 性 测试 是 通过 一 定 的 方法 评价 内 部 控制 的 运行 是 否 按照 内 部 
控制 设计 执行 ， 是 否 能 够 有 效 地 控制 风险 ， 将 风险 控制 到 风险 承受 度 内 ， 
发 现 内 部 控制 运行 方面 存在 的 问题 ， 提 出 整改 建议 。 


3. 内 部 控制 测试 的 方法 

(1) 测试 方法 

内 部 控制 测试 基本 方法 包括 询问 、 观 察 、 检 查 和 再 执行 等 。 

1 ) 询问 

询问 是 通过 口头 或 书面 的 方式 对 执行 控制 的 相关 人 员 提 出 问题 ， 根 据 
被 询问 人 的 回答 确定 控制 是 否 存在 并 有 效 运行 ， 以 及 控制 执行 人 对 控制 的 
理解 程度 。 询 问 广泛 地 应 用 于 测试 过 程 中 ， 并 且 经 常 作为 对 执行 其 他 测试 
方法 的 补充 。 

询问 的 范围 包括 正式 书面 询问 和 不 拘 形 式 的 口头 询问 ， 内 容 包括 询问 
具体 人 员 如 何 执行 控制 ， 由 何人 执行 控制 ， 其 执行 效果 有 否 达到 控制 点 设 
计 的 目的 。 若 在 询问 中 发 现 问题 ， 应 判断 间 题 是 否 会 导致 与 报表 相关 的 错 
报 后 果 ， 以 及 如 何 解决 有 关 问 题 。 
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在 测试 程序 中 ， 单 独 的 “询问 ”不 能 为 测试 人 员 提 供 足够 的 证 据 来 确 
定 控制 点 执行 的 有 效 性 ,测试 人 员 应 结合 其 他 的 测试 方法 。 

测试 人 员 评 佑 被 询问 者 的 反应 是 询问 过 程 中 的 一 个 组 成 部 分 。 被 询问 
者 的 反应 能 提供 测试 人 员 可 靠 的 信息 ， 包 括 控制 点 执行 人 员 的 技巧 和 胜任 
能 力 ， 防 止 或 查 出 错误 或 舞弊 的 控制 点 的 敏感 性 ， 控 制 点 能 防止 或 查 出 错 
误 或 舞 次 的 频率 等 。 当 被 询问 者 的 反应 给 测试 人 员 带 来 对 控制 点 执行 有 效 
性 的 怀疑 时 ,测试 人 员 应 执行 额外 的 测试 程序 。 

2 ) 观察 

观察 是 指 测试 人 员 对 公司 实物 资产 、 有 关 业 务 活动 的 操作 过 程 及 其 内 
部 控制 的 执行 情况 等 进行 的 实地 察看 ， 以 了 解 控制 的 执行 情况 是 否 符 合 有 
关内 部 控制 规定 ， 是 否 与 书面 资料 的 记载 相符 。 

例如 ， 财 务 印鉴 管理 情况 的 检查 ， 内 部 控制 要 求 财务 专用 章 和 个 人 章 
分 别 由 不 同 的 人 员 进 行 保管 ， 任 何人 不 得 保管 1 枚 以 上 印鉴 。 测 试 人 员 可 
以 让 印鉴 保管 人 员 出 示 其 负责 保管 的 印章 ， 观 察 不 同 印鉴 是 否 由 同一 工作 
人 员 保 管 ， 以 保证 财务 印鉴 的 管理 符合 控制 要 求 。 

又 如 ， 信 息 系统 登录 情况 的 检查 ， 根 据 用 户 权 限 管 理 的 规定 ， 用 户 权 
限 分 配 应 遵循 能 够 满足 用 户 日 常 工作 对 系统 资源 的 需求 的 最 小 授权 原则 进 
行 授权 。 通 过 观察 未 授权 人 员 账 户 登 录 是 否 会 被 系统 拒绝 ， 以 保证 系统 的 
接触 性 控制 是 否 存在 。 

但 在 采用 现场 观察 法 进行 测试 时 ， 应 充分 考虑 到 测试 人 员 不 在 现场 时 
未 按 制度 要 求 执行 的 可 能 性 ， 因 此 ， 最 好 不 要 以 一 次 观察 的 结果 做 结论 ， 
同时 要 结合 其 他 的 方法 辅 证 现场 观察 的 结果 。 

3 ) 检查 

检查 是 指 测试 人 员 检查 与 生产 经 营 、 财 务 活动 的 有 关 资 料 和 控制 点 执 
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行 的 书面 证 据 等 。 通 过 检查 审阅 文件 资料 ， 了 解 控制 制度 和 流程 ， 并 证 实 
该 控制 点 已 被 执行 。 测 试 人 员 审 阅 的 文件 资料 主要 包括 : 以 前 的 各 种 检查 
资料 ; 被 测试 业务 流程 图 ; 被 测试 流程 说 明 或 流程 操作 手册 ; 有 关 会 计 资 
料 、 统 计 资料 或 其 他 核算 资料 ， 其 他 内 部 规章 或 管理 制度 ;签字 确认 等 有 
关 的 书面 证 据 。 

4) 再 执行 

再 执行 是 指 测试 人 员 根据 控制 点 执行 程序 ， 依 据 风险 大 小 抽取 样本 重 
新 做 一 遍 ， 并 把 重 做 结果 与 原 有 结果 进行 比较 、 分 析 数 据 ， 从 而 判断 内 部 
控制 制度 是 否 有 效 。 如 果 处 理 后 的 新 结果 与 原 处 理 结果 相同 ， 则 说 明 内 部 
控制 制度 已 发 挥 了 其 功能 。 

例如 , 在 IT 一 般 控 制 测试 中 ,可 以 利用 独立 的 数据 进行 复核 测算 , 或 
者 模拟 系统 的 方式 进行 运算 ， 输 入 假设 的 交易 ， 用 得 到 的 结果 与 预计 的 结 
果 进 行 比较 来 测试 系统 。 

(2) 举例 

银行 余额 调节 表 测 试 ， 如 表 6-1 所 示 。 


表 6-1 测试 方法 举例 

测试 内 容 | 
询问 准备 及 审阅 银行 余额 调节 表 的 人 员 是 如 何 发 现 差异 的 , 差异 原因 是 

什么 ， 有 什么 样 的 步 又 能 确保 相应 的 财务 记录 得 到 及 时 更 正 

观察 银行 余额 调节 表 准 备 的 过 程 ， 并 记录 流程 

获取 银行 余额 调节 表 ， 了 解 调节 项 目 性 质 ; 追溯 到 相应 的 单据 记录 ( 如 

银行 对 账单 ); 检查 调节 表 是 否 有 相关 负责 人 签字 
比较 某 月 银行 对 账单 、 账 面 余额 及 银行 余额 调节 表 , 重新 计算 及 查找 差 

额 ， 并 追 湖 到 相应 的 单据 记录 













测试 方法 





询问 






再 执行 


(3) 测试 的 可 信和 度 
不 同 的 测试 方法 确信 水 平 不 一 样 ， 表 6-2 说 明了 不 同 测试 方法 的 可 信 度 。 











内 部 控制 评价 


表 6-2 不同 测试 方法 的 可 信和 度 








， 可 信和 度 测试 方法 | 特 、 点 
最 不 可 能 通过 口头 或 书面 形式 确认 控制 存在 
最 薄弱 的 测试 方法 
询问 。 | 应 该 与 其 他 测试 共同 执行 


应 该 询问 多 人 以 确定 结果 一 致 
文档 记录 要 求 : 谁 ， 什 么 时 候 ， 哪 里 ， 怎 样 
观察 员工 执行 控制 步 又 
观察 可 能 需要 其 他 跟 进 测试 
文档 记录 要 求 : 谁 ， 什 么 时 候 ， 观 察 的 结果 
获得 资产 存在 证 据 的 最 简单 的 方法 
检查 审阅 文档 记录 或 报告 
提供 详细 内 容 从 而 可 以 重复 测试 步骤 并 检验 结果 
采用 独立 的 数据 重新 进行 对 账 
按 系统 的 计算 公式 重新 计算 
在 系统 中 输入 测试 数据 来 查看 结果 
测试 文档 记录 的 详细 程度 可 以 保证 重新 测试 





再 执行 
最 可 能 


6.1.2 ”测试 的 实施 





内 部 控制 测试 分 为 设计 有 效 性 测试 与 执行 有 效 性 测试 。 内 部 控制 设计 
有 效 性 测试 一 般 通过 穿行 测试 来 进行 。 本 书 第 4 章 已 经 对 穿行 测试 做 了 介 
绍 ， 这 里 就 不 再 累 述 。 

根据 本 书 第 3 章 “ 合 规范 围 ”确定 纳入 范围 的 组 织 单位 ， 所 有 关键 控 
制 都 需要 测试 ， 包 括 公司 层面 、 业 务 层面 和 IT 控制 。 


1. 公司 层面 的 测试 
根据 第 4 章 介绍 的 公司 层面 的 内 容 ， 公 司 层面 的 测试 范围 包括 内 部 环 
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境 、 风 险 评估 、 控 制 活动 、 信 息 与 沟通 、 监 督 (包括 反 舞 弊 ) 五 个 方面 ， 
具体 包括 诚信 与 道德 价值 观 、 发 展 目标 、 管 理 理念 与 企业 文化 、 风 险 管理 
策略 、 董 事 会 及 审计 委员 会 与 监事 会 、 组 织 结构 、 权 利和 责任 的 分 配 、 人 
力 资 源 政策 与 措施 、 员 工 胜任 能 力 、 反 舞弊 机 制 等 内 容 。 下 面 举 例 介绍 其 
中 几 个 方面 内 容 的 测试 。 

《1) 诚信 和 与 道德 价值 观测 试 

公司 制定 《业务 行为 与 道德 守则 》 审阅 内 容 是 否 全 面 , 是 否 符合 国内 
外 相关 制度 要 求 。 

访谈 公司 员工 ， 了 解 是 否 对 《业务 行为 与 道德 守则 》 进行 了 宣传 培训 ， 
了 解 员 工 对 其 的 认 知 程度 ; 通过 检查 相关 培训 记录 等 资料 ， 确 定 公司 是 否 
对 其 进行 了 宣传 和 培训 。 

检查 员工 是 否 全 部 签署 《业务 行为 与 道德 守则 》 并 上 报 。 同 时 通过 访 
谈 并 对 相关 制度 文件 进行 检查 ， 了 解 并 查看 公司 是 否 将 职业 道德 标准 包含 
在 与 客户 及 供 货 商 的 商业 交往 中 ， 如 将 职业 道德 准则 能 和 人 合同 协议 中 ， 或 
者 签署 单独 的 协议 等 。 

检查 是 否 将 《业务 行为 与 道德 守则 》 列 入 公司 员工 的 培训 内 容 ， 如 通 
过 员工 培训 ， 以 及 利用 网 络 及 其 他 形式 进行 《业务 行为 与 道德 守则 》 的 学 
习 与 宣传 。 

是 否 对 新 员工 开展 关于 职业 道德 规范 方面 的 岗 前 教育 培训 ， 并 在 劳动 
合同 中 纳入 遵守 公司 职业 道德 规范 的 内 容 。 

(2) 权利 和 责任 分 配 测试 

首先 ， 获 取 公司 相关 授权 权限 方面 的 制度 文件 ， 如 授权 权限 指引 表 ， 
或 者 相关 制度 中 规定 的 权限 ， 如 采购 审批 权限 等 。 其 次 ， 选 择 部 分 管理 人 
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员 ,审阅 公司 制度 规定 的 相关 权限 描述 是 否 与 其 岗位 职责 描述 一 致 。 再 次 ， 
与 相关 部 门 负责 人 进行 访谈 ， 了 解 其 是 否定 期 对 职责 和 权限 进行 审核 ， 获 
得 有 关 职 责 和 授权 的 审批 及 变化 的 记录 ， 审 核 其 是 否 进行 了 适当 的 审批 ， 
并 对 变化 进行 了 记录 。 最 后 ， 观 察 职责 和 授权 有 变化 的 员工 的 工作 ， 是 否 
按 变化 后 的 职责 和 授权 执行 。 综 合 上 述 测试 程序 ， 判 断 责任 和 权力 分 配 的 
适当 性 。 

结合 业务 层面 中 对 权限 的 测试 ， 确 认 实际 操作 是 否 与 制度 规定 的 授权 
一 致 。 

访谈 人 事 部 门 负责 人 ， 并 查阅 职责 和 授权 的 审批 及 变化 的 记录 ， 了 解 
是 否定 期 对 权限 指引 表 进 行 修订 并 记录 ， 从 而 判断 责任 和 权力 分 配 的 适当 
性 。 了 解 公司 是 否定 期 对 岗位 职责 描述 进行 审核 ， 如 何 审核 。 审 阅 相 关 资 
料 ， 以 确认 公司 定期 对 岗位 职责 描述 进行 了 有 效 的 审核 。 取 得 现任 高 级 管 
理 人 员 和 重要 部 门 相关 岗位 人 员 和 名单， 选取 财务 人 员 、 信 息 管理 人 员 等 数 
人 ， 获 得 其 岗位 职责 描述 ， 确 定 描述 是 否 包含 以 下 要 素 : 基本 信息 、 岗 位 
主要 责任 、 工 作 职责 ( 如 清晰 明确 的 监督 职责 和 报告 职责 )、 岗 位 权限 、 业 
绩 指标 、 任 职 条 件 要 求 和 工作 环境 等 内 容 。 询 问 了 解 其 实际 工作 的 职责 和 
权限 是 否 与 岗位 职责 描述 相 一 致 基 于 对 公司 组 织 结构 及 业务 活动 的 理解 ， 
以 及 该 岗位 应 具备 知识 技能 和 任职 条 件 的 职业 判断 ， 评 价 岗位 职责 描述 内 
容 的 适当 性 ， 确 保 权 利 分 配 、 职 责 分 离 的 适当 性 。 

结合 IT 控制 测试 中 对 财务 、IT 人 员 权限 测试 的 结果 ， 确 定 其 实际 工 
作 的 职责 和 权限 是 否 与 岗位 职责 描述 相 一 致 ， 确 认 信 息 系统 的 责任 和 变化 
的 授权 是 否 适当 。 ， 

下 面 是 公司 层面 测试 的 一 个 例子 ， 如 表 6-3 所 示 。 we 
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表 6-3 公司 层面 测试 举例 一 一 组 织 结构 
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控制 描述 测试 步骤 测试 证 据 















。 公司 整体 组 织 结构 | 〈1 ) 获取 公司 最 新 
图 依 公司 各 下 属 公 | 组 织 结构 图 ， 根 据 公 
司 间 控 股 情况 列 | 司 经 营 状况 评估 公司 
置 ， 且 各 子 公司 成 | 的 组 织 结构 ， 当 经 营 |。 公司 组 织 
公司 的 立 充 分 考虑 需求 “| 发 生 改 变 时 根据 需要 | 结构 图 


组 织 结 。 管理 层 根据 公司 经 | 更 新 组 织 结 构 ， 以 确 |。 部 门 调整 
构 能 支 |C100.| 管 理 层 ,| 营 状 况 评估 公司 的 | 保 各 下 属 公司 的 功能 | ( 新 增 或 
持 有 效 |01.8 | 投资 者 | 组 织 结构 ， 当 经 营 | 明确 者 裁撤 ) 
的 财务 关系 部 | 发 生 改变 时 ， 根 据 | (2 ) 获取 部 门 调整 | 的 任命 
报告 内 自身 业务 的 发 展 状 人 新 增 或 者 裁撤 ) 的 任 |。 高 管 调整 
部 控制 况 ， 调 整 公司 组 织 | 命 、 高 管 调整 (任免 | (任免 、 分 
结构 分 工 ) 的 任命 ,查阅 | 工 ) 的 任命 


投资 者 关系 部 每 | 管理 层 设计 合理 的 公 
月 更 新 公司 组 织 | 司 组 织 结构 ， 以 满足 
结构 图 企业 正常 的 运作 


2. 业务 层面 的 测试 

业务 层面 的 测试 ， 是 指 采 用 抽样 测试 的 方法 ， 对 业务 活动 层面 关键 控 
制 执行 的 有 效 性 进行 的 检查 ， 适 用 于 手工 控制 、 应 用 系统 控制 及 电子 表格 
控制 测试 。 

(1) 确定 样本 总 量 

样本 总 量 是 指 测试 对 象 。 测 试 人 员 通 过 在 样本 总 量 中 抽取 样本 和 和 检查 
控制 实施 证 据 ， 来 验证 相关 关键 控制 在 样本 总 量 中 是 否 有 效 执行 。 

样本 总 量 包括 构成 某 类 交易 和 事项 的 所 有 项 目 ， 测试 人 员 应 当 确 保 样 


eS 


医 
EE: 
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本 总 量 的 适当 性 和 完整 性 。 适 当 性 要 求 测试 人 员 确 定 的 样本 总 量 应 适合 于 
特定 测试 目标 。 完 整 性 要 求 测试 人 员 应 从 样本 总 量 项 目 内 容 和 涉及 时 间 等 
方面 确定 样本 总 量 的 完整 性 。 

样本 总 量 在 大 多 数 情况 下 并 不 是 关键 控制 所 对 应 的 控制 实施 证 据 。 

1 ) 举例 ”有关 费 用 报销 的 关键 控制 

关键 控制 : 费用 经 办 部 门 负责 人 、 主 管 领导 、 财 务 总 监 ， 财 务 部 门 费 
用 会 计 、 出 纳 人 员 按 照 各 自 的 职责 权限 分 别 对 费用 的 原始 凭证 进行 审核 
(原始 凭证 包括 费用 报销 审批 单 )。 

该 关键 控制 的 控制 实施 证 据 是 费用 报销 审批 单 ， 但 是 针对 该 关键 控制 
的 测试 样本 总 量 不 应 该 是 全 部 的 费用 报销 审批 单 。 这 是 因为 ， 如 果 以 全 部 
的 费用 报销 审批 单 作为 样本 总 量 进行 抽样 ， 就 不 能 发 现 已 经 人 账 但 是 没有 
适当 的 费用 报销 审批 单 的 费用 项 目 。 所 以 针对 该 关键 控制 的 测试 样本 总 量 
应 该 是 明细 账 中 的 全 部 费用 项 目 ， 而 不 是 费用 报销 审批 单 。 

在 该 例子 中 ,为 了 保证 样本 总 量 的 完整 性 ， 关 键 控 制 测试 对 应 的 样本 
总 量 是 全 部 的 业务 ， 但 有 的 时 候 为 了 便于 理解 和 操作 ， 样 本 总 量 也 可 能 是 
控制 实施 证 据 ， 即 相关 的 表单 。 在 这 种 情况 下 ， 测 试 步骤 中 就 需要 有 保证 
样本 总 量 完整 性 的 相关 步 又。 

2 ) 举例 ”有关 计 提 坏 账 准备 的 关键 控制 

关键 控制 : 每 半年 财务 部 门 会 同 相关 部 门 对 应 收 款项 进行 全 面 检查 ， 
预计 各 项 应 收 款项 可 能 发 生 的 坏账 ， 确 定 坏账 准备 计 提 范围 、 计 提 方 法 和 
计 提 金额 。 

针对 该 关键 控制 进行 测试 ， 理 论 上 说 ， 样 本 总 量 应 该 是 被 测试 单位 的 
全 部 应 收 款 项 ， 但 是 这 样 抽取 样本 不 便于 理解 和 操作 ， 所 以 可 以 把 测试 期 
闻 内 全 部 的 坏账 准备 检查 测算 表 《〈 控制 实施 证 据 ) 作为 测试 的 样本 总 量 。 
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如 果 这 样 ， 就 应 该 包括 如 下 的 测试 步骤 : 核对 抽取 的 坏账 准备 检查 测算 表 
是 否 涵盖 了 全 部 应 收 、 预 付款 项 。 
(2) 样本 的 选取 
1 ) 抽样 原则 
样本 选取 的 原则 是 能 够 代表 样本 总 体 。 测 试 样本 抽取 原则 应 考虑 的 要 
素 如 下 〈 但 不 限于 ): 
。 保证 抽取 样本 时 应 包括 各 主要 交易 类 型 。 
。 抽取 价值 大 的 交易 类 型 比 抽 取 价 值 小 的 频次 较 多 。 
。 若 控制 点 在 业务 流程 中 采用 系统 自动 控制 , 且 存 在 良好 的 IT 一 般 控 
制 , 最 合适 的 测试 方法 是 测试 一 个 样本 ; 若 不 存在 良好 的 IT 一 般 控 
制 ， 则 需 按照 人 工控 制 的 抽样 方式 选取 样本 量 。 
2 ) 抽样 方法 
。 任意 抽样 。 不 存在 如 何 选择 性 的 抽样 ， 可 以 在 所 有 数据 比较 一 致 的 
情况 下 选用 。 例如 , 在 IT 系统 中 , 电脑 对 数据 的 处 理 是 一 致 的 。( 非 
统计 学 抽样 ) 
。 随机 抽样 。 随 机 抽样 一 般 被 认为 是 最 具有 代表 性 的 取样 方式 。 随 机 
选取 通常 是 采用 电脑 来 完成 的 。( 统计 学 抽样 ) 
。 连续 抽样 。 如 果 所 有 数据 的 总 数 是 可 知 的 ， 一 个 系统 的 抽样 可 能 更 
合理 ， 如 抽取 第 n 个 数据 为 样本 。( 非 统 计 学 抽样 ) 
例如 ， 总 数 为 200， 抽 样 数量 为 9， 则 需要 从 每 22 个 (200*9=22 ) 抽 
取 一 个 样本 。 假 定 是 从 第 8 个 开始 ,样本 即 为 8, 30, 52, 74, 96, 118, 140, 162， 
184。 
采用 的 抽样 方法 主要 是 依据 所 选取 样本 总 量 的 形式 而 决定 的 ， 如 样本 
总 量 为 1 000 张 连续 编号 的 发 票 ， 最 佳 的 抽样 方法 为 连续 抽样 。 同 时 ， 在 
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制作 测试 计划 时 ， 我 们 也 需要 对 选取 抽样 方法 的 原因 进行 描述 。 


相关 链接 





如 果 所 选 的 样本 不 能 用 做 测试 怎么 办 
e 例如 ， 我 们 挑选 尾数 为 8 的 发 票 作为 控制 测试 的 样本 ， 发 现 其 中 
一 张 是 作废 的 发 票 ， 此 时 ， 我 们 可 以 挑选 下 一 张 发 票 作为 替代 的 
样本 。 选 取 替 代 样 本 ， 要 详细 记录 选择 替代 样本 的 原因 。 
e 如 根据 以 上 的 抽样 方法 无 法 找到 一 个 替代 样本 ， 将 无 替代 样本 的 
情况 作为 差异 记录 下 来 ， 在 下 一 轮 测试 中 重点 关注 。 





3 ) 确认 样本 量 

自动 应 用 控制 的 样本 量 不 考虑 控制 频率 ， 固 定 为 1 个 。 

手工 控制 中 定期 发 生 的 控制 的 样本 量 是 通过 控制 发 生 的 频率 来 确 
定 的 。 

手工 控制 中 不 定期 发 生 的 控制 或 者 执行 对 象 比 较 多 的 定期 发 生 的 关键 
控制 ， 需 确定 该 控制 在 一 个 会 计 年 度 内 大 约 发 生 的 次 数 ， 折 合成 控制 发 生 
的 频率 后 再 确定 样本 量 ， 样 本 数量 的 具体 确定 参照 表 6-4。 


表 6-4 样本 量 数量 参考 表 
控制 频率 /折合 频率 


不 适用 
EE 
















自动 应 用 控制 


手工 控制 


DN 
nd 
ee 
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样本 数量 ， 要 参考 企业 规模 、 业 务 复杂 程度 、 具 体 控制 点 的 风险 水 平 
等 来 确定 。 

不 定期 发 生 业 务 活动 样本 量 和 执行 对 象 比 较 多 的 定期 发 生 的 控制 样本 

量 的 确定 举例 。 

QD 不 定期 发 生 的 控制 样本 。IT 系统 用 户 变动 的 控制 频率 是 随时 的 ， 
测试 人 员 需 要 询问 被 测试 单位 该 控制 负责 人 测试 期 间 内 用 户 变动 数量 ， 并 
与 从 人 力 资源 部 门 取得 的 员工 变动 记录 进行 核对 ， 然 后 推算 全 年 员工 变动 
数量 ， 再 参照 表 6-3 确定 应 抽取 的 样本 量 。 假 如 被 测试 单位 2010 年 1 ~3 
月 某 IT 系统 共 变动 了 12 个 用 户 ， 如 果 通 过 访谈 得 知 用 户 变 动 在 全 年 的 分 
布 是 比较 均衡 的 ， 则 推算 全 年 用 户 变动 约 为 48 个 〈 12x4 )， 折 合 频率 为 每 
周一 次 ， 相 应 确定 的 样本 量 应 该 是 10 个 。 

@@ 执行 对 象 比较 多 的 定期 发 生 的 控制 样本 。 编 制 银 行 存款 余额 调节 表 
的 控制 是 每 月 定期 进行 的 ， 但 是 由 于 银行 存款 余额 调节 表 是 针对 每 个 银行 
账户 编制 的 ， 所 以 该 控制 就 不 能 简单 地 视 为 月 度 控 制 。 针 对 该 控制 ， 需 要 
确定 被 测试 单位 银行 账户 的 数量 ， 推 算 一 个 会 计 年 度 内 编制 银行 存款 余额 
调节 表 的 次 数 , 确定 测试 需要 的 样本 量 。 假如 某 被 测试 单位 共有 30 个 银行 
账户 ， 推 算 全 年 编制 银行 存款 余额 调节 表 的 数量 为 360 个 ， 则 折合 频率 为 
每 日 ， 相 应 确定 的 样本 量 应 该 是 45 个 。 

(3) 检查 样本 

根据 选 定 的 样本 ， 对 样本 进行 检查 。 重 点 关注 控制 结果 是 否 正确 、 控 
制 过 程 是 否 有 效 、 控 制 实施 证 据 是 否 完整 有 效 。 确 定 描述 的 控制 在 实际 工 
作 中 是 否 得 到 执行 ， 执 行 中 的 控制 在 风险 控制 文档 中 是 否 得 到 描述 ， 是 否 
留 下 实施 证 据 。 

《4) 记录 抽样 测试 情况 

测试 完成 后 ， 根 据 测试 结果 在 测试 表 中 详细 记录 访谈 结果 ， 包 括 测 试 
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步骤 及 发 现 、 测 试 结论 、 缺 陷 及 原因 等 内 容 。 对 于 发 现 的 缺陷 ， 应 该 取得 


测试 证 据 的 复印 件 ， 


除 抽样 检查 外 ， 还 可 结合 观察 、 再 执行 等 方法 进行 测试 。 


并 与 测试 记录 进行 索引 。 


下 面 是 业务 层面 ( 适用 于 手工 控制 、 应 用 系统 控制 及 电子 表格 控制 ) 
的 一 个 例子 ， 如 表 6-5 所 示 。 


表 6-5 ”流程 层面 测试 举例 -一 客户 信息 管理 (ERP) 
















































，， 控制 | 控制 | 总 测试 步骤 
地 制 | 。 控制 措 述 | | 
编号 | 划 
1. 访谈 关键 用 户 ， 了 
EE 2 解 系统 中 关于 缺 省 客户 
信用 额度 的 配置 情况 
不 2， 根 据 配 置 清单 中 | 
06 | 二, 而 保 在 系统 | 自动 | 随时 | 适 | 适用 上 | 客户 信用 管理 ”流程 的 轩 
01.01 | 增加 了 新 客户 , 信 和 和 清 
用 的 风险 级 别 为 | 
Bi tgp 统 中 查看 相应 配置 情 
况 ， 确 认 是 否 与 配置 清 
单一 至 
| 1. 访谈 关键 用 户 ， 了 
解 系统 中 关于 超过 信用 
ean 额度 后 销售 订单 状态 设 
进行 合理 配置 , 确 
置 的 配置 情况 配 
保 超过 信用 额度 
K106. k 2. 根据 配置 清单 中 | 置 
的 销售 订单 或 外 | 自动 随时 | 适 | 适用 | 
01.02 客户 信用 管理 ”流程 的 | 清 
向 交 货 单 被 冻 用 上 
K106.01.02” 点 ， 在 系 | 单 
网 人 统 中 查看 相应 配置 情 
况 ， 确 认 是 否 与 配置 清 
单一 至 
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3. IT 一 般 控制 的 测试 


IT 一 般 控制 是 信息 处 理 控制 中 的 一 种 ， 是 控制 活动 的 内 部 控制 组 成 要 
素 的 一 部 分 。 其 中 流程 和 程序 用 于 对 公司 的 信息 技术 活动 和 计算 机 环境 进 
行 管理 和 控制 。 通 常 分 为 信息 技术 控制 环境 、 程 序 开发 、 程 序 变更 、 程 序 
和 数据 存 取 〈 安全 性 )、 计 算 机 运行 等 多 个 领域 。 

通过 IT 一 般 控制 测试 ， 检 查 是 否 根 据 公司 IT 一 般 控 制 管 理 文件 的 
要 求 ， 执 行 了 信息 系统 管理 的 各 项 控制 活动 ， 从 而 提高 应 用 系统 控制 的 
有 效 性 ， 确 保 信 息 系 统 支 持 的 应 用 控制 是 可 靠 的 、 生 成 的 数据 和 报告 是 
可 信 的 。 

(1) 访谈 

访谈 执行 控制 的 岗位 人 员 ， 了 解 该 业务 人 员 是 否 真正 理解 所 执行 的 控 
制 ， 并 对 该 业务 人 员 的 胜任 能 力 做 出 判断 ， 将 访谈 结果 记录 在 测试 表 中 。 

IT 一 般 控 制 包括 控制 环境 、 信 息 安 全 、 项 目 建 设 管理 、 系 统 变 更 管理 、 
系统 运行 维护 、 最 终 用 户 操作 等 。 

Qa 控制 环境 。 包 括 IT 一 般 控 制 环境 、 信 息 与 沟通 、 风 险 评估 、 监 
控 等 。 

@ 信息 安全 。 包 括 信息 安全 管理 组 织 、 逻 辑 安全 、 物 理 安全 、 网 络 安 
全 、 计 算 机 病毒 防护 、 第 三 方 安全 管理 、 信 息 安全 事件 响应 等 。 

@ 项 目 建设 管理 。 包 括 项 目 建设 方法 论 、 项 目 立 项 审批 、 商 业 软 件 与 
硬件 的 外 购 、 项 目 启动 、 项 目 需 求 分 析 、 项 目 设计 、 系 统 开发 实施 、 系 统 
测试 、 数 据 移 植 、 系 统 上 线 、 项 目 验 收 、 用 户 培 训 和 上 线 后 评估 等 。 

@ 系统 变更 管理 。 包 括 变更 管理 、 日 常 变更 流程 、 紧 急 变 更 流程 等 。 

@@ 系统 运行 维护 。 包 括 机 房 环境 控制 、 系 统 日 常 运作 监控 、 批 处 理 作 
业 调度 管理 、 备 份 与 恢复 、 问 题 管理 等 。 
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@@ 最 终 用 户 操作 。 包 括 最 终 用 户 计 算 机 操作 安全 制度 、 电 子 表格 管 
理 等 。 

(2) 选取 样本 1 

结合 访谈 结果 ， 确 定 样本 总 体 和 控制 频率 等 问题 ， 并 选取 样本 。 如 果 
从 测试 起 始 时 间 到 截止 时 间 ， 由 于 业务 发 生 量 的 限制 ， 无 法 取得 要 求 的 样 
本 量 ， 则 应 该 选取 已 有 的 全 部 样本 ， 同 时 记录 样本 的 选取 情况 ， 在 备注 中 
进行 说 明 (样本 量 不 足 ， 要 求 X x 个 ， 仅 抽取 了 x x 个 )。 

在 IT 一般 控制 测试 中 , 除了 项 目 建设 管理 流程 与 信息 安全 领域 采取 全 
样本 测试 外 ， 其 他 控制 点 测试 需要 的 样本 量 其 确定 原则 与 关键 控制 抽样 测 
试 确定 的 原则 相同 。 

在 采用 抽样 检查 的 方法 时 ， 测 试 人 员 采 用 随意 的 方式 选取 样本 ， 但 是 
同时 考虑 以 下 两 个 因素 : 一 是 样本 数量 选取 原则 是 测试 业务 发 生 期 间 随 意 
选取 ， 抽 取样 本 时 间 分 布 均匀 ， 随 意 选取 是 非 统计 抽样 ， 不 能 集中 抽取 某 
一 期 间 的 样本 ， 样 本 应 分 布 在 测试 期 间 的 不 同时 间 段 或 时 点 ， 如 每 日 的 表 
格 可 抽取 不 同月 份 各 一 个 ， 如 1、3、5、7、9 月 各 一 个 样本 ; 二 是 常规 业 
务 样本 与 非常 规 业 务 样本 的 均匀 分 布 ， 在 测试 时 ， 样 本 对 应 的 业务 不 能 集 
中 在 一 种 类 型 ， 尽量 覆盖 所 涉及 的 业务 类 型 。 

(3) 检查 样本 

对 样本 进行 检查 , 重点 关注 IT 一 般 控制 措施 在 实际 工作 中 是 否 得 到 有 
效 执行 ， 是 否 符合 IT 一般 控 制 措施 的 描述 。 

(4) 记录 抽样 情况 

记录 测试 过 程 ， 包 括 测 试 步 又 及 发 现 、 测 试 结论 、 缺 陷 及 原因 等 内 
容 。 对 于 发 现 的 缺陷 ， 应 该 取得 测试 证 据 的 复印 件 ， 并 与 测试 记录 进行 
索引 。 
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下 面 是 IT 一 般 控 制 的 一 个 例子 ， 如 表 6-6 所 示 。 


























表 6-6 IT 一 般 控 制 测试 举例 一 一 访问 控制 
关键 控制 村 
控制 ， 控制 | 控制 测试 步骤 | 
编号 控制 描述 方法 | 频率 数 | 证 | 陷 | 论 出 
| | 量 | 据 | | | 地 
禁止 操作 系统 管理 员 1. 访谈 SAP 系统 信 
通过 su 命令 获取 oracle 息 安全 管理 负责 人 关 
用 户 权 限 ， 从 而 能 够 进 于 检查 SAP 服务 器 操 
人 数据 库 对 业务 数据 进 作 系 统 logon 日 志和 su 
行 直接 访问 ，SAP 系统 日 志 的 管理 情况 
信息 安全 管理 负责 人 每 2. 抽取 3 个 月 的 全 年 的 
月 检查 SAP 服务 器 操作 logon 日 志和 su 日 志 检 jon 
KK120. | 系统 logon 日 志和 su 日 手工 | 每 月 查 记录 《SAP 系统 安 ay 
02.02 | 志 ， 对 操作 系统 管理 员 a da 
通过 su 命令 转换 为 数 检查 是 否 填 写 了 对 日 查 记录 
据 库 管理 员 的 操作 进行 志 所 有 记录 的 检查 结 
监控 ,调查 发 生 这 种 情 果 , 是 否 记 录 了 对 异常 
况 的 原因 ， 确 保 数 据 库 情况 的 跟踪 处 理 结果 ， 
中 的 业务 数据 没有 因为 是 否 有 SAP 系统 信息 
这 种 情况 而 受到 不 恰当 安全 管理 负责 人 对 检 
的 修改 查 结 果 的 签字 确认 


4. 综合 测试 方法 介绍 
前 文 介绍 


了 目前 流行 的 一 般 测试 方法 ， 这 些 方 法 通常 被 称 为 传统 的 测 


试 方法 ， 主 要 是 采用 内 部 控制 标准 测试 模板 ， 根 据 业 务 发 生 的 种 类 ， 按 照 
一 定 的 样本 量 随机 抽取 样本 ,通过 样本 使 用 的 有 效 性 来 验证 体系 设计 和 执 
行 的 有 效 性 。 这 种 方法 测试 内 容 繁 杂 ， 但 是 很 多 时 候 ， 并 不 能 发 现 问 题 ， 
暴露 出 效率 与 效果 不 其 理想 的 问题 。 
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选择 适当 的 测试 方法 ， 对 于 发 现 问 题 、 解 决 问题 ， 以 及 提高 企业 管控 
能 力 非常 重要 。 按 照 业务 链条 发 展 过 程 展开 测试 ， 更 多 的 是 借助 审计 的 方 
法 和 技巧 ， 甚 至 于 借助 职业 判断 来 发 现 更 深层 次 的 执行 层面 的 各 种 问题 ， 
我 们 称 之 为 综合 测试 方法 。 以 下 是 根据 多 年 实务 经 验 总 结 出 来 的 几 种 方法 ， 
很 多 人 都 应 该 使 用 过 ， 这 里 仅 供 参 考 。 

(1) 穿插 法 

穿插 法 是 指 在 测试 过 程 中 ， 将 相关 的 业务 流程 结合 一 起 测试 ， 还 可 以 
将 公司 层面 与 手工 测试 相 结 合 ， 通 过 综合 分 析 ， 发 现在 单一 流程 或 单方 面 
测试 中 不 能 发 现 的 问题 。 

1 ) 相关 业务 流程 结合 测试 

相关 业务 流程 结合 在 一 起 测试 ， 可 以 发 现 相 关 业 务 链 条 的 内 在 联系 ， 
规避 单一 流程 测试 时 链条 信息 中 断 的 情况 发 生 。 

例如 ， 针 对 事后 合同 的 问题 ， 如 果 单 纯 在 合同 签订 流程 中 进行 检查 ， 
可 能 无 法 查 出 ， 因 为 事后 合同 在 合同 管理 样本 总 体 中 是 不 存在 的 ， 总 体 中 
没有 的 样本 是 不 会 在 测试 中 发 现 问题 的 。 针 对 此 情况 ， 公 司 可 以 通过 审阅 
采购 流程 ， 在 取得 全 部 的 施工 项 目 进度 表 的 基础 上 抽取 已 实施 或 正在 实施 
的 项 目 ， 通 过 访谈 了 解 项 目 执行 情况 后 ， 再 检查 合同 签订 情况 。 凡 是 正在 
施工 或 已 完成 的 项 目 ， 均 应 该 签订 施工 合同 。 在 合同 主管 部 门 取得 项 目 主 
管 部 门 签订 的 所 有 合同 作为 样本 总 体 ， 将 已 抽取 实施 的 项 目 与 合同 总 体 一 
一 对 照 ， 即 可 查 出 是 否 为 事后 合同 。 

2 ) 与 公司 层面 测试 相 结合 

与 公司 层面 测试 相 结合 ， 可 以 发 现 业务 管理 与 授权 管理 及 偏离 职业 道 
德 导 致 风险 失控 等 方面 的 问题 。 在 公司 层面 测试 中 ， 着 重 关注 投诉 举报 和 
违规 处 理 、 反 舞弊 等 主题 的 测试 结果 。 
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例如 ， 在 查阅 投诉 举报 信息 及 违规 处 理事 项 涉及 的 相关 文件 资料 时 ， 
要 考虑 相关 的 业务 流程 执行 是 否 准确 。 如 果 发 现 投诉 举报 记录 中 存在 采购 
人 员 收 受 回扣 的 举报 信息 ， 在 业务 流程 测试 时 应 重点 关注 “采购 流程 ”的 
设计 与 执行 的 有 效 性 ， 以 及 反 舞 次 措 施 是否 有 效 等 。 

又 如 ， 在 测试 高 层 基 调 、 风 险 评 估 等 主题 时 ， 通 过 与 高 管 人 员 访 谈 ， 
获得 投资 等 方面 信息 ， 要 重点 关注 预算 的 落实 情况 。 通 过 访谈 获得 投资 哪 
些 项 目 ， 产 生 了 哪些 效益 等 ， 但 测试 人 员 在 公司 预算 里 面 未 找到 该 投资 项 
目 ， 针 对 此 问题 再 进一步 对 投资 支出 等 资料 深 查 细 究 ， 就 能 发 现 预算 外 投 
资 的 问题 。 通 过 多 个 相关 流程 和 多 个 主题 穿插 测试 获得 信息 的 相互 借鉴 ， 
来 发 现 单 一 流程 或 单个 主题 测试 中 较 难 发 现 的 问题 ， 多 角度 审视 内 部 控制 
体系 运行 的 有 效 性 。 

(2) 倒 查 法 

倒 查 法 是 根据 业务 链条 发 生 的 环节 ， 分析 并 寻找 业务 链 的 特点 ， 发 现 
其 内 在 联系 ， 从 业务 链 末端 或 下 游 业 务 人 手 ， 发 现 问题 后 进行 反 查 的 一 种 
方法 。 该 方法 适用 于 采用 正 查 法 无 法 查 出 问题 或 无 法 获取 所 需 样本 的 情况 。 

例如 ， 在 测试 材料 采购 流程 时 ， 重 点 关注 采购 计划 和 采购 合同 的 有 效 
性 。 如 果 用 正 查 法 测试 ， 先 从 系统 中 查阅 某 批 物资 的 采购 计划 、 采 购 合同 、 
人 库 验 收 单 、 出 库 单 ， 最 后 到 财务 人 账 等 手续 ， 可 能 无 法 直接 查 出 问题 ， 
这 时 要 考虑 采用 倒 查 法 ， 如 图 6-3 所 示 。 

(3) IT 与 手工 结合 法 

内 部 控制 体系 有 效 运行 离 不 开 信息 系统 的 支持 ， 为 确保 企业 所 使 用 的 
应 用 系统 的 安全 完整 ， 防 范 欺诈 和 舞弊 行为 ， 就 要 对 应 用 系统 应 用 管理 进 
行 定 期 检查 ， 其 中 对 权限 的 检查 尤为 重要 ， 同 时 信息 与 手工 测试 要 有 关 
联 性 。 
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如 发 现实 物 , 而 明细 账 上 
没有 登记 , 则 存在 无 计划 或 
无 合同 采购 的 可 能 性 







对 照 账 上 物 材 
查实 物 







审批 等 方面 查 起 











此 外 ,用 倒 查 法 还 可 以 延伸 至 材 
料 物资 使 用 部 门 进行 抽样 测试 , 进 
而 可 能 发 现 “ 以 劣 充 好 ”等 问题 






直到 整个 工作 流程 
结束 ， 从 中 验证 是 否 
存在 控制 缺陷 情况 






图 6-3 倒 查 法 举例 


例如 ， 在 手工 测试 查阅 记 账 凭证 时 ， 有 审批 的 痕迹 ， 但 这 个 审批 是 否 
有 效 ， 可 通过 权限 测试 来 确定 。 通 过 权限 测试 ， 一 方面 可 发 现 多 余 权 限 ， 
男 一 方面 可 发 现 审批 人 所 分 配 的 权限 是 否 符合 不 相 容 岗位 原则 和 权限 最 小 
原则 ， 这 样 可 规避 由 于 不 应 有 的 权限 人 进行 审批 导致 舞弊 风险 的 产生 。 

另外 ， 通 过 电子 表格 测试 可 发 现 因 手 工 测试 不 能 发 现 的 公式 变更 而 导 
致 的 数据 不 准确 等 风险 的 产生 。 所 以 ， 信 息 系 统 测 试 与 手工 测试 的 有 机 结 
合 可 规避 许多 手工 测试 不 易 发 现 的 问题 。 


6.1.3 ”测试 报告 


1. 测试 总 结 


QD 汇总 整理 相关 测试 记录 , 测试 人 员 汇 总 全 部 控制 缺陷 , 并 归档 相关 
实施 证 据 。 
@ 测试 人 员 汇总 发 现 的 问题 , 对 测试 结果 进行 分 析 , 包括 分 析 被 测试 


下 
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单位 实际 执行 过 程 中 的 差异 ， 包 括 缺 陷 主 要 发 生 在 哪些 业务 流程 、 哪 些 部 
门 、 哪 些 岗位 ， 以 及 发 生 频 率 、 形 成 的 原因 等 。 
@ 对 测试 结果 进行 沟通 确认 。 对 测试 发 现 的 控制 缺陷 与 被 测试 部 门 
( 人员 ) 进行 充分 沟通 ， 最 终 达成 一 致意 见 。 对 确认 存在 的 问题 ， 提 出 整改 
@ 对 问题 进行 分 类 , 属 企 事业 单位 层面 的 问题 , 由 企 事业 单位 负责 整 
改 ， 属 公司 层面 的 问题 ， 上 报 项 目 组 ， 由 项 目 组 汇总 后 上 报 管理 层 ， 由 管 
理 层 负责 整改 。 


2. 测试 报告 


测试 报告 主要 包括 以 下 几 个 方面 的 内 容 : 

QD 内 部 控制 体系 运行 情况 。 测 试 单位 内 部 控制 设计 与 执行 有 效 性 总 体 
评价 ， 简 要 氢 述 内 部 控制 机 构 设 置 情况 、 公 司 流程 和 控制 的 重大 变化 情况 
及 缺陷 整改 情况 等 。 

@@ 测试 发 现 与 缺陷 说 明 。 首先 说 明 控制 缺陷 总 体 情 况 , 然后 按照 公司 
层面 、 业 务 活 动 层 面 和 信息 系统 层面 分 别 对 重要 控制 缺陷 进行 说 明 。 

@ 整改 意见 及 建议 。 针 对 测试 发 现 的 控制 缺陷 ， 提 出 建议 和 措施 。 


| 缺陷 评估 





6.2.1_ 缺陷 评估 概述 





1. 缺陷 评估 的 概念 
缺陷 评估 是 以 一 定 的 方法 和 标准 ， 对 内 部 控制 存在 的 设计 和 执行 有 效 
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性 方面 的 问题 进行 分 析 ， 进 而 评估 内 部 控制 缺陷 的 影响 程度 及 发 生 可 能 性 
的 过 程 。 

缺陷 评估 高 度 依赖 于 评估 人 员 的 职业 判断 ， 因 此 对 评估 人 员 的 经 验 和 
能 力 都 有 较 高 的 要 求 。 

缺陷 评估 采用 定量 判断 和 定性 分 析 相 结合 的 方法 。 以 测试 发 现 的 控制 
缺陷 为 基础 ， 将 缺陷 评估 分 为 缺陷 确认 、 单 个 缺陷 评估 、 缺 陷 汇 总 评估 三 
个 阶段 。 


2. 缺陷 评估 的 目的 


缺陷 评估 的 目的 是 评价 在 设计 层面 和 执行 层面 是 否 存在 控制 缺陷 及 缺 
陷 的 影响 程度 ， 以 作为 管理 层 发 布 内 部 控制 自我 评估 报告 的 依据 。 


3. 缺陷 的 分 类 


缺陷 的 分 类 可 以 有 以 下 两 种 方式 。 

1 ) 按 严 重 程度 分 

企业 应 当 对 内 部 控制 缺陷 进行 综合 判断 , 按 其 严重 程度 分 为 重大 缺陷 、 
重要 缺陷 和 一 般 缺 陷 。 

QD 重大 缺陷 是 指 一 个 或 多 个 控制 缺陷 的 组 合 , 可 能 导致 企业 严重 偏离 
控制 目标 的 情形 。 

@) 重要 缺陷 是 指 一 个 或 多 个 控制 缺陷 的 组 合 , 其 严重 程度 和 经 济 后 果 
低 于 重大 缺陷 ， 但 仍 有 可 能 导致 企业 偏离 控制 目标 的 情形 。 

@ 一 般 缺 陷 是 指 除 重 大 缺陷 、 重 要 缺陷 之 外 的 其 他 控制 缺陷 。 

2 ) 按 测试 过 程 分 

QD 设计 缺陷 。 缺少 实现 控制 目标 所 需 的 控制 , 或 者 现 有 控制 没有 得 到 
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合理 的 设计 ， 即 使 按照 设计 的 控制 运行 ， 也 无 法 实现 控制 目标 ， 则 为 设计 
缺陷 。 ， 

例如 ， 由 出 纳 人 员 执行 银行 对 账 工作 ， 虽 然 该 项 关键 控制 在 实际 中 得 
到 执行 ， 但 由 于 是 不 相 容 岗位 ， 属 于 不 相 容 岗位 未 进行 分 离 ， 属 于 设计 
缺陷 。 

@ 执行 缺陷 。 如 果 一 个 设计 适当 的 控制 未 按照 设计 运行 , 或 者 执行 人 
员 没 有 适当 的 授权 或 能 力 有 效 运行 该 控制 ， 则 为 执行 缺陷 。 

例 1: 内 部 控制 文档 中 的 控制 措施 设计 描述 为 “合同 要 经 过 财务 、 技 
术 、 法 律 三 项 审查 , 才能 报 主 管 领导 审批 "。 如 果 没 有 严格 执行 此 规定 ， 则 
反映 了 内 部 控制 文档 所 描述 的 控制 在 实际 中 没有 执行 ， 属 于 执行 缺陷 。 

例 2: 月 末 ， 财 务 与 相关 部 门 账 账 核对 、 账 实 核对 ， 核 对 不 一 致 时 未 
能 及 时 查 明 原 因 并 处 理 ， 造 成 作业 步 又 不 完整 ， 也 属于 执行 缺陷 。 

例 3: 在 核对 往来 时 ， 本 来 双方 金额 不 一 致 ， 但 因为 工作 蕉 忽 误 以 为 
一 致 ， 造 成 控制 无 效 。 
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1. 重大 缺陷 认定 标准 

重大 缺陷 的 认定 要 从 定量 和 定性 两 方面 综合 判断 。 

(1) 定量 标准 

1 ) 针对 单个 控制 

定量 首先 要 确定 重要 性 水 平和 一 般 性 水 平 ,《 企 业内 部 控制 审计 指引 》 
第 二 十 条 规定 :“ 在 计划 内 部 控制 审计 工作 时 , 注册 会 计 师 应 当 使 用 与 财务 
报表 审计 相同 的 重要 性 水 平 。 
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一 般 情 况 下 ,采用 合并 报表 税 前 利润 的 5% 和 1% 分 别 作为 重要 性 水 平 标 
准 和 一 般 性 水 平 标准 : 影响 水 平 达到 或 超过 当年 公司 合并 报表 重要 性 水 平 ， 
即 税 前 利润 的 $5%， 直 接 认定 为 重大 缺陷 ;影响 水 平 低 于 公司 合并 报表 税 前 
利润 的 5%， 但 达到 或 者 超过 1% 的 ， 经 过 定性 因素 分 析 ， 认 定 为 重要 缺陷 。 

2 ) 多 个 控制 缺陷 的 组 合 

在 对 公司 缺陷 进行 认定 时 ， 多 个 控制 缺陷 影响 同一 个 目标 ， 应 该 放 在 
一 起 考虑 。 

影响 水 平 达到 或 者 超过 当年 公司 合并 报表 税 前 利润 的 5%, 认定 为 重大 
缺陷 ; 影响 水 平 低 于 公司 合并 报表 税 前 利润 的 5%, 经 过 定性 因素 分 析 , 认 
定 为 重要 缺陷 。 例 如 ， 管 理 费用 会 计 科 目 中 ， 各 单位 测试 中 发 现 的 缺陷 影 
响 水 平均 小 于 单个 单位 重要 性 水 平 ， 但 汇总 各 单位 缺陷 影响 程度 大 于 公司 
合并 报表 税 前 利润 的 3%， 该 控制 仍然 存在 重大 缺陷 。 

与 IT 一 般 控制 缺陷 有 关 或 者 由 它 所 引起 的 应 用 系统 控制 缺陷 , 在 进行 
上 述 定量 分 析 后 ， 如 果 超 过 $%， 或 者 虽 不 超过 公司 合并 报表 税 前 利润 的 
5%， 但 经 过 定性 因素 分 析 也 可 被 确认 为 重大 缺陷 ， 如 图 6-4 所 示 。 







对 合并 报表 税 前 
利润 的 影响 





定性 分 析 





图 6-4 重大 缺陷 认定 标准 
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《2) 定性 标准 

《企业 内 部 控制 审计 指引 》 第 六 十 九条 规定 :“ 下 列 迹象 可 能 表明 内 部 
控制 存在 重大 缺陷 : 

(一 ) 注册 会 计 师 发 现 高 级 管理 人 员 舞 上 整 ; 

(二 ) 企业 重 述 以 前 公布 的 财务 报表 ， 以 更 正 重大 错 报 ; 

(三 ) 注册 会 计 师 发 现 当期 财务 报表 存在 重大 错 报 ， 而 控制 未 能 发 现 ; 

《四 ) 审计 委员 会 对 财务 报告 及 内 部 控制 的 监督 无 效 。” 

定性 标准 ， 主 要 是 下 面 几 条 。 

QD 识别 出 高 级 管理 层 中 的 任何 程度 的 舞弊 行为 。 由 于 高 层 基调 在 整个 
控制 环境 中 的 重要 作用 ， 高 级 管理 层 的 任何 程度 舞弊 都 会 对 控制 环境 产生 
消极 影响 ， 所 以 与 财务 报告 相关 的 高 级 管理 层 人 员 任 何 程度 的 细 弊 行为 都 
会 造成 重大 缺陷 。 

@) 对 已 签发 的 财务 报告 进行 重 报 以 反映 对 错 报 的 更 正 。 公 司 按 规定 期 
限 报 送 已 签发 的 财务 报告 〈 含 年 报 和 半年 报 ) 后 ， 如 果 公司 对 财务 报告 重 
新 报 送 以 更 正 财务 报告 中 的 错 报 ， 包 括 对 报告 年 度 财务 报告 错 报 进行 更 正 
重 报 和 以 前 报告 年 度 出 现 的 错 报 在 当年 财务 报告 中 进行 更 正 ， 此 类 情况 可 
认定 存在 重大 缺陷 。 

但 公司 由 于 国家 规定 的 会 计 准 则 和 制度 变化 ， 上 市 地 会 计 准 则 变化 ， 
以 及 公司 按 规定 由 于 经 济 环 境 、 客 观 情况 的 改变 而 进行 会 计 政 策 调整 ， 需 
要 对 以 前 报告 年 度 的 财务 报告 进行 追溯 调整 的 ， 不 属于 此 类 情况 。 

曙 审计 师 发 现 的、 最 初 未 被 公司 内 部 控制 识别 的 当期 财务 报告 中 的 重 
大 错 报 。 当 公司 完成 财务 报告 编制 并 正式 签发 提交 外 部 审计 师 审计 后 ， 外 
部 审计 师 发 现 财务 报告 中 存在 重大 错 报 ， 即 使 后 来 公司 也 对 上 述 重 大 错 报 
进行 了 更 正 并 重新 编制 了 财务 报告 ， 仍 属于 存在 重大 缺陷 。 
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(@ 审计 委员 会 对 公司 的 对 外 财务 报告 和 财务 报告 内 部 控制 监督 无 效 。 
监管 机 构 对 审计 委员 会 有 明确 的 职责 和 资质 要 求 ， 如 果 审 计 委 员 会 不 能 履 
行 对 公司 的 对 外 财务 报告 和 内 部 控制 实施 有 效 的 监督 或 不 具备 监督 的 资质 
及 能 力 ， 就 可 以 确认 审计 委员 会 的 监督 无 效 。 

A. 审计 委员 会 的 有 效 监督 

审计 委员 会 章程 和 程序 涵盖 审计 委员 会 主要 的 角色 和 责任 。 

单独 与 首席 财务 官 、 会 计 人 员 、 内 部 审计 师 和 外 部 审计 师 会 面 的 频率 
和 时 间 ， 以 讨论 财务 报告 流程 、 内 部 控制 与 企业 风险 管理 体系 ， 以 及 管理 
层 绩效 的 合理 性 等 提出 重大 意见 和 建议 。 

审计 委员 会 活动 的 书面 证 据 应 充分 。 

B. 独立 性 

审计 委员 会 的 所 有 成 员 均 应 是 董事 会 的 成 员 ， 并且 具备 独立 性 。 

审计 委员 会 成 员 不 能 收受 该 上 市 公司 的 任何 咨询 费 、 顾 问 费 或 其 他 补 
偿 性 费用 ， 不 能 是 该 上 市 公司 或 其 子 公司 的 关联 人 员 。 

C， 财 务 专家 

审计 委员 会 的 成 员 中 至 少 有 一 名 财务 专家 。 

D， 反 舞 丈 控制 

监督 管理 层 反 舞 癣 控制 程序 的 关键 内 容 ， 包 括 以 下 几 点 : 参与 定期 的 
舞 刺 风险 评估 工作 ; 审核 管理 层 针对 已 识别 的 舞 次 风险 采取 的 应 对 措施 ; 
取得 通过 举报 机 制 获 知 的 问题 的 报告 ， 取 得 管理 层 、 内 部 或 外 部 审计 师 发 
现 的 舞 蛤 事件 的 正式 报告 ; 参与 重大 舞弊 事件 或 有 关 财 务 人 员 舞 疯 事 件 的 
调查 。 

E. 审计 委员 会 的 角色 和 责任 

监督 公司 的 内 部 审计 职能 ， 包 括 以 下 几 点 : 任命 内 部 审计 主管 前 ， 事 
先 征求 审计 委员 会 意见 ; 审核 年 度 内 部 审计 预算 和 计划 ， 审 核 内 部 审计 的 
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重要 报告 或 重大 发 现 ; 每 年 至 少 同 内 部 和 外 部 审计 师 单独 会 晤 一 次 ; 必要 
时 召开 临时 会 议 。 

F. 监督 财务 报告 流程 

审计 委员 会 获得 充分 的 信息 以 审核 财务 报告 和 其 他 公开 财务 报告 的 合 
理性 。 

审计 委员 会 与 高 级 管理 层 和 外 部 审计 师 讨 论 财务 报表 及 财务 报表 附注 
的 内 容 。 

审计 委员 会 成 员 具 备 必 要 的 经 验 以 审核 公布 的 财务 信息 ， 并 与 管理 层 
和 审计 师 进行 讨论 。 

审计 委员 会 及 时 审核 中 期 和 年 度 财务 报告 、 其 他 报告 和 新 闻 公告 。 批 
准 或 建议 董事 会 通过 有 关 的 报告 。 

与 管理 层 和 内 外 部 审计 师 充 分 讨论 重要 事项 ， 包 括 重大 会 计 政策 、 判 
断 性 的 会 计 估计 等 。 

G. 监督 有 关 财 务 报告 的 内 部 控制 

讨论 管理 层 发 现 的 所 有 重要 缺陷 和 重大 缺陷 , 并 审核 相关 的 披露 事项 。 

如 果 审 计 委 员 会 一 个 或 所 有 成 员 都 不 能 满足 “财务 专家 ”的 要 求 ， 说 
明 审 计 委员 会 不 具备 监督 财务 报告 的 能 力 和 经 验 ， 可 以 确认 审计 委员 会 监 
督 无 效 ; 如 在 其 他 方面 不 能 履行 监督 职责 ， 综 合 考虑 也 会 导致 对 外 财务 报 
告 和 财务 报告 的 内 部 控制 无 法 实施 有 效 监督 ， 也 可 以 确认 审计 委员 会 监督 
无 效 。 


2. 重要 缺陷 认定 标准 
(1) 定量 标准 


1 ) 单个 控制 
影响 水 平 低 于 5%, 但 是 达到 或 超过 1%， 直接 认定 为 重要 缺陷 ; 影响 水 
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平 低 于 1% 的 ， 经 过 定性 因素 分 析 ， 也 可 以 认定 为 重要 缺陷 ， 如 图 6-5 所 示 。 


对 合并 报表 税 前 1% ~ 5% 
利润 的 影响 重要 缺陷 
定性 分 析 






图 6-5 重要 缺陷 认定 标准 


2 ) 多 个 控制 缺陷 的 组 合 

与 重大 缺陷 的 认定 标准 相同 ， 在 对 公司 缺陷 进行 认定 时 ， 多 个 控制 缺 
陷 影 响 同一 个 目标 ， 应 该 放 在 一 起 考虑 。 

影响 水 平 达到 或 超过 1%, 可 以 认定 为 重要 缺陷 ; 影响 水 平 不 超过 1%， 
经 过 定性 因素 分 析 ， 也 可 能 认定 为 重要 缺陷 。 

(2) 定性 标准 

1 ) 沟通 后 的 重要 缺陷 没有 在 合理 的 期 间 得 到 纠正 

外 部 审计 发 现 的 重要 缺 隐 ， 在 与 管理 层 、 审 计 委 员 会 沟通 后 ， 公 司 没 
有 及 时 整改 或 整改 后 没有 充足 的 时 间 满 足 确 认 该 缺陷 纠正 后 是 控制 有 效 
的 。 具 体 见 表 6-7 内 部 控制 有 效 运行 的 执行 周期 。 


表 6-7 内 部 控制 有 效 运行 的 执行 周期 








内 部 控制 频率 在 报告 日 前 的 建议 执行 时 期 
每 季 2 个 季度 
每 月 2 个 月 
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续 表 
内 部 控制 频率 | 在 报告 日 前 的 建议 执行 时 其 
每 周 5 周 
每 天 20 天 
一 天 多 次 执行 25 次 需要 的 天 数 
2 ) 控制 环境 无 效 


控制 环境 无 效 是 一 个 宽泛 的 、 综 合 的 评价 ， 涉 及 控制 环境 所 有 要 素 及 
管理 层 对 重要 政策 的 制定 和 宣传 贯彻 。 下 述 事 项 中 ， 如 有 一 个 或 者 一 个 以 
上 不 符合 要 求 ， 视 为 控制 环境 无 效 。 
@ 高 级 管理 层 在 全 公司 范围 推动 内 部 控制 管理 程序 ， 主 要 内 容 包 括 : 
。 建立 公司 治理 结构 ， 明 确 规定 董事 会 、 审 计 委员 会 、 高 管 、 业 务 单 
位 领导 、 业 务 具体 负责 人 、 内 部 审计 等 职责 。 
。 公司 的 制度 和 政策 必须 在 全 公司 得 到 贯彻 执行 。 
。 建立 全 面 的 内 部 控制 文档 记录 ， 并 对 内 部 控制 体系 的 实施 及 持续 维 
护 进 行 监督 。 
。 实施 定期 评估 , 确保 有 关 财 务 报告 的 内 部 控制 在 全 年 持续 有 效 运行 。 
对 缺陷 进行 整改 ， 并 及 时 更 新 相关 文档 记录 。 
@ 会 计 政 策 和 程序 。 管 理 层 应 建立 适当 机 制 以 获得 会 计 准 则 的 变化 ， 
以 及 其 他 涉及 财务 报告 要 求 的 法 规 的 更 新 。 主 要 内 容 包括 : 
。 编制 会 计 政 策 手册 ， 向 各 级 管理 人 员 传 达 并 严格 遵守 。 
。 定 期 审核 和 更 新 会 计 政 策 ， 如 发 生 重大 变更 , 应 由 高 级 管理 层 审批 ， 
并 报 审计 委员 会 复核 。 

。 管理 层 与 外 部 审计 师 和 其 他 外 部 专家 密切 沟通 ， 以 理解 和 应 对 公认 
会 计 准 则 的 复杂 变更 。 

。 开展 正 式 的 培训 和 /或 沟通 以 保证 贯彻 落实 政策 和 程序 。 
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二 针对 非常 规 、 复 杂 或 特殊 交易 的 账 务 处 理 的 控制 。 管 理 层 建立 政策 
和 程序 以 识别 和 正确 记录 重要 的 非常 规 交易 ， 主 要 内 容 包括 ， 
。 管理 层 及 时 发 现 可 能 对 财务 报告 造成 重大 影响 的 非常 规 交易 、 复 杂 
交易 或 者 特殊 交易 。 
。 管理 层 采取 适当 措施 ， 如 会 议 讨 论 、 咨 询 、 调 查分 析 等 形式 ， 对 正 
确 的 会 计 处 理 达 成 共识 ， 并 恰当 记录 该 决策 过 程 。 
。 就 对 财务 报告 造成 重大 影响 的 非常 规 交 易 、 复 杂交 易 或 特殊 交易 ， 
管理 层 与 外 部 审计 师 进行 充分 讨论 并 进行 适当 的 披露 。 
3 ) 公司 内 部 审计 职能 和 风险 评估 职能 无 效 
内 部 审计 应 当做 到 : 制定 内 部 审计 制度 ,包括 目标 、 工 作 范 围 、 义 务 、 
独立 性 、 职 责 、 权 利 及 审计 实务 标准 等 ， 与 业务 部 门 沟通 ; 通过 审计 委员 
会 审议 ; 报 高 管 层 批准 。 
保持 独立 性 。 公 司 内 审 部 门 定期 或 应 要 求 向 监事 会 、 董 事 会 、 审 计 委 
员 会 、 管 理 层 及 时 报告 重要 审计 发 现 并 提出 处 理 意见 ; 审计 机 构 不 承担 本 
单位 的 经 营 责任 ， 审 计 人 员 不 执行 生产 经 营 管理 业务 工作 的 具体 操作 。 
组 织 结构 和 人 员 资 历 。 内 审 部 门 具 备 必 要 技能 、 相 关 经 验 及 专业 资格 
的 内 审 人 员 ， 来 完成 规定 的 内 部 审计 工作 ; 接受 继续 教育 和 培训 ， 保 持 胜 
任 工作 的 知识 、 技 能 和 其 他 能 力 。 
4 ) 对 于 非常 规 、 复 杂 或 特殊 交易 的 账 务 处 理 的 控制 
非常 规 、 复 杂 或 特殊 交易 主要 是 非 货币 性 交易 、 债 务 重组 、 外 币 业务 、 
复杂 交易 等 。 会 计 核 算 人 员 或 报表 编制 人 员 在 处 理 上 述 业 务 时 ， 如 果 难 以 
进行 职业 判断 ， 应 逐 级 向 上 一 级 财务 负责 人 报告 ， 确 定 处 理 方法 。 
5 ) 反 舞 弊 程序 和 控制 
公司 必须 实施 “ 反 短 痊 控 制 ”， 涉及 建立 必要 的 程序 和 控制 , 通过 宜 传 
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培训 使 员工 和 管理 层 理解 反 舞 弊 控 制 ， 加 强 监 督 保证 实施 有 效 并 不 断 持 续 
维护 等 内 容 。 如 果 公 司 在 以 下 每 个 方面 没有 建立 必要 的 控制 和 不 能 保证 实 
施 有 效 ， 都 会 造成 重要 缺陷 的 存在 。 

QD 建立 并 有 效 执行 职业 道德 规范 。 

职业 道德 应 适用 于 所 有 负责 会 计 或 监管 财务 报告 的 员工 ， 并 清楚 定义 
舞弊 行为 ， 说 明 应 遵守 的 准则 ， 建 立 确定 违规 行为 的 公正 程序 。 

董事 会 和 审计 委员 会 应 监管 职业 道德 规范 的 执行 ， 员 工 在 雇用 时 及 之 
后 应 定期 接受 职业 道德 规范 的 培训 。 

如 果 公 司 没有 建立 经 董事 会 或 有 效 运行 的 审计 委员 会 审核 的 书面 职业 
道德 规范 ， 即 为 重要 缺陷 。 

@ 建立 投诉 举报 机 制 。 内 审 部 门 建立 道德 热线 或 举报 机 制 , 为 员工 和 
其 他 人 员 提供 报告 可 能 违反 道德 准则 的 行为 和 舞 棘 事项 的 途径 ;审计 委员 
会 依赖 现 有 投诉 举报 机 制 ， 通 过 对 其 的 监督 及 接受 定期 汇报 来 完成 其 受理 
投诉 的 责任 ; 每 季度 由 审计 部 负责 统一 汇报 公司 所 收 到 的 关于 会 计 、 内 部 
财务 控制 或 审计 方面 的 举报 及 处 置 情况 。 

如 果 缺 乏 这 种 举报 及 报告 机 制 ， 将 导致 财务 报告 内 部 控制 出 现 重要 
缺陷 。 

@) 审计 委员 会 和 董事 会 的 监督 。 在 公司 章程 或 者 相关 制度 中 , 应 规定 
审计 委员 会 和 董事 会 系统 地 定期 复核 管理 层 建立 的 财务 报告 体系 。 董 事 会 
和 审计 委员 会 应 积极 监管 舞弊 行为 。 

如 果 审 计 委员 会 对 反 舞 弊 采 取消 极 态度 ， 则 存在 重要 缺陷 。 

@ 调查 与 补救 措施 。 管 理 层 .审计 委 员 会 和 董事 会 应 采取 恰当 的 措施 ， 
指出 和 披露 内 部 控制 存在 的 重大 缺陷 和 重大 缺陷 、 重 大 的 实质 性 舞弊 行为 
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及 高 层 参 与 的 任何 程度 的 舞弊 ， 并 采取 恰当 的 补救 措施 。 

如 果 公 司 不 向 外 部 审计 师 或 审计 委员 会 披露 关于 重要 缺陷 或 舞 商 行为 
的 信息 ， 公 司 对 认定 的 重要 缺陷 及 已 发 现 舞 浴 或 疑似 舞 黄 采取 恰当 的 补救 
措施 ， 都 可 确认 为 重要 缺陷 。 

@ 控制 措施 。 管 理 层 应 设计 必要 的 控制 措施 以 应 付 预 见 的 舞 浆 风险 ， 
并 予以 记录 。 

如 果 没 有 必要 的 控制 措施 ， 或 控制 措施 没有 被 有 效 执行 来 规避 舞弊 风 
险 ， 则 存在 着 重要 缺陷 。 

@ 对 于 期 末 财 务 报告 过 程 的 控制 。 交 易 总 数 过 入 总账， 初始 、 授 权 、 
记录 和 总 账 中 账 务 处理 ， 以 及 之 中 伴随 的 IT 控制 。 


3. 一 般 缺 陷 认定 标准 
在 定量 和 定性 考虑 后 ， 不 属于 重大 缺陷 和 重要 缺陷 的 ， 确 认为 一 般 
缺陷 。 


6.2.3_ 缺陷 评估 程序 





缺陷 评估 程序 以 测试 发 现 的 控制 缺陷 为 基础 ， 其 程序 如 图 6-6 所 示 。 


1. 控制 缺陷 分 析 阶 段 

对 控制 缺陷 进行 汇总 整理 ， 纳 入 缺陷 评估 的 是 未 整改 或 已 整改 但 未 达 
到 合理 运行 时 间 的 控制 缺陷 。 

与 测试 人 员 及 流程 负责 人 进行 必要 的 沟通 ， 对 控制 缺陷 的 发 生 原 因 及 
未 整改 原因 进行 分 析 。 
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考虑 定性 因素 , 分 析 对 
年 度 和 中 期 财务 报告 的 
可 能 性 与 影响 程度 


6-6 缺陷 评估 程序 


2. 缺陷 评估 阶段 


(1) 定量 判断 


影响 高 于 重要 性 水 平 ， 且 不 存在 有 效 的 替代 控制 ， 直 接 认 定 为 重大 


缺陷 。 
(2) 重大 缺陷 分 析 


对 于 影响 水 平 大 于 重要 性 水 平 的 控制 缺陷 ， 判 断 是 否 存在 有 效 的 替代 
控制 ， 再 进行 定性 分 析 。 考 虑 可 能 性 和 影响 程度 等 因素 后 ， 如 果 一 个 遵 慎 
的 管理 者 认为 该 控制 缺陷 影响 高 于 重要 性 水 平 ， 则 该 控制 缺陷 确认 为 重大 
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缺陷 。 

替代 控制 考虑 因素 : 如 果 存 在 替代 控制 且 经 测试 控制 有 效 ， 重 新 进行 
定量 判断 ， 确 定 缺 陷 类 别 ， 如 降低 缺陷 类 别 ; 如 果 经 测试 替代 控制 无 效 ， 
则 不 需要 考虑 替代 控制 。 

(3) 重要 缺陷 分 析 

对 于 影响 水 平 大 于 一 般 性 水 平 但 小 于 重要 性 水 平 的 控制 缺陷 ， 判 断 是 
否 存在 有 效 的 替代 控制 ， 再 进行 定性 分 析 。 考 虑 可 能 性 和 影响 程度 等 因素 
后 ， 如 果 一 个 并 慎 的 管理 者 认为 该 控制 缺陷 影响 水 平 低 于 重大 缺陷 造成 的 
影响 , 但 足以 引起 注意 ,该 控制 缺陷 确认 为 重要 缺陷 。 

替代 控制 考虑 因素 : 如 果 存 在 替代 控制 且 经 测试 控制 有 效 ， 重 新 进行 
定量 判断 ， 确 定 缺陷 类 别 ， 如 降低 缺陷 类 别 ; 如 果 经 测试 蔡 代 控制 无 效 ， 
则 不 需要 考虑 替代 控制 。 

(4) 一 般 缺 陷 分 析 

对 于 影响 水 平 小 于 一 般 性 水 平 的 控制 缺陷 ， 如 果 一 个 谨慎 的 管理 者 认 
为 其 影响 水 平 低 于 重要 缺陷 造成 的 影响 ， 但 也 应 引起 公司 关注 ， 则 该 控制 
缺陷 确认 为 一 般 缺 陷 。 

影响 水 平 小 于 一 般 性 水 平 的 控制 缺陷 ， 不 需要 考虑 替代 控制 。 


3. 缺陷 评估 程序 举例 
某 公司 缺陷 评估 的 重要 性 水 平 为 500 000 元 ,一般 性 水 平 为 100 000 元 。 
控制 活动 : 每 月 编制 银行 存款 余额 调节 表 。 
总 体 影响 水 平 : 银行 存款 收 支 全 年 大 约 为 40 000 000 元 。 
测试 步骤 : 选择 两 个 月 ， 每 个 月 选择 5 个 银行 账户 ， 检 查 是 否 每 个 银 
行 账户 都 编制 了 调节 表 ， 并 且 及 时 地 调查 和 解决 了 所 有 非 正 常 项 目 。 
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测试 结果 : 两 张 调节 表 存 在 问题 ， 测 试 人 员 发 现 750 000 元 的 重大 调 
节 项 目 ， 而 且 已 经 存在 一 年 以 上 。 

1 ) 判断 是 否 为 重要 缺陷 

总 体 影响 水 平 为 40 000 000 元 ， 大 于 一 般 性 水 平 (100 000 元); 

替代 控制 : 财务 经 理 复 核 并 在 银行 余额 调节 表 上 签字 。 因 为 财务 经 理 
没有 发 现 上 述 的 重大 差异 ， 此 替代 控制 是 无 效 的 。 

因此 判定 为 重要 缺陷 。 

2 ) 判断 是 否 存 在 重大 缺陷 

总 体 影响 水 平 (40 000 000 元 )， 超 过 重要 性 水 平 (500 000 元 )。 

因此 判定 为 重大 缺陷 。 


4. 缺陷 评估 结果 对 审计 报告 的 影响 
缺陷 评估 结果 对 审计 报告 的 影响 如 表 6-8 所 示 。 


表 6-8 缺陷 评估 结果 对 审计 报告 的 影响 







审计 
员 会 沟 和 报告 意见 
”一 般 缺陷 VY 无 保留 意见 
重要 缺陷 | | | 无 保 贸 意见 
重大 缺 了 | 否定 意见 


缺陷 类 型 | 与 管理 层 沟 通 








6.3 评价 报告 


内 部 控制 评估 报告 是 公司 根据 内 部 控制 测试 及 缺陷 评估 的 结果 ， 对 公 
司 内 部 控制 有 效 性 做 出 评价 。 
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1. 管理 层 内 部 控制 评估 报告 要 素 构成 


内 部 控制 评价 报告 至 少 应 当 包括 下 列 内 容 : 

QD 组 织 实施 内 部 控制 评价 的 总 体 情 况 。 

@ 内 部 控制 责任 主体 的 声明 。 

@ 内 部 控制 评价 的 范围 和 内 容 。 

@ 内 部 控制 评价 的 标准 和 依据 。 

@ 内 部 控制 评价 的 程序 和 方法 。 

@ 内 部 控制 重大 缺陷 及 其 认定 情况 。 

QD 内 部 控制 重大 缺陷 的 整改 措施 及 责任 追究 情况 。 

内 部 控制 有 效 性 的 结论 。 

存在 一 个 或 多 个 内 部 控制 重大 缺陷 的 , 应 当做 出 内 部 控制 无 效 的 结论 。 


2. 编制 与 披露 程序 


编制 与 披露 程序 如 下 : 

(D 收集 相关 信息 , 包括 监管 要 求 、 法 律 法 规 要 求 、 上 年 度 的 披露 事项 
和 内 部 控制 缺陷 评估 结果 。 

@ 内 审 部 门 或 专门 的 内 部 控制 机 构 编制 管理 层 自我 评估 报告 初稿 , 并 
由 主管 领导 审阅 。 

@ 与 律师 和 外 部 审计 师 进 行 沟 通 ， 根 据 其 意见 修改 报告 。 

@ 内 审 部 门 或 专门 的 内 部 控制 机 构 领导 审核 报告 , 根据 沟通 及 审核 意 
见 进一步 修改 报告 。 

人 公司 CFO 审核 管理 层 自我 评估 报告 。 

@ 提交 董事 会 审定 后 ， 对 外 发 布 。 
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3. 报告 模板 
下 面 是 2009 年 万 科 企 业 股份 有 限 公司 内 部 控制 自我 评价 报告 。 
万 科 企 业 股份 有 限 公司 
2009 年 内 部 控制 自我 评价 报告 
董事 会 声明 


本 公司 全 体 董事 、 监 事 及 高 级 管理 人 员 承 谱 内 部 控制 自我 评价 报告 不 
存在 任何 虐 假 、 误 导 性 陈述 或 重大 遗漏， 并 保证 所 披露 信息 的 真实 、 准 确 
与 完整 。 

一 、 综 述 

在 董事 会 、 管 理 层 及 全 体 员 工 的 共同 努力 下 ， 本 公司 已 经 建立 起 一 套 
比较 完整 且 运 行 有 效 的 内 部 控制 体系 ， 从 公司 治理 层面 到 各 业务 流程 层 
面 均 建立 了 系统 的 内 部 控制 制度 及 必要 的 内 部 监督 机 制 ， 为 本 公司 经 营 
管理 的 合法 合 规 、 资 产 安全 、 财 务 报告 及 相关 信息 的 真实 完整 提供 了 合 
理 保障 。 

2009 年 度 ， 本 公司 参照 财政 部 等 五 部 委 联合 发 布 的 《企业 内 部 控制 基 
本 规范 》 及 深交 所 《上 市 公司 内 部 控制 指引 》 等 相关 规定 ， 坚 持 以 风险 时 
向 为 原则 ， 对 公司 的 内 控 体系 进行 持续 的 改进 及 优化 ， 以 适应 不 断 变化 的 
外 部 环境 及 内 部 管理 的 要 求 。 

本 年 度 ， 公 司 建立 了 覆盖 总 部 、 各 控股 公司 及 各 业务 部 门 的 三 级 自我 
评估 体系 ， 组 织 总 部 及 各 控股 公司 对 内 控 设 计 及 执行 情况 进行 了 系统 的 自 
我 评价 。 并 通过 风险 检查 ， 内 部 审计 等 对 公司 内 部 控制 的 设计 及 运行 的 总 
体 情况 进行 了 独立 评价 ， 具 体 评价 结果 阔 述 如 下 。 
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二 、 内 部 环境 

1. 治理 结构 

公司 按照 《公司 法 》《 证 券 法 》 等 法 律 、 行 政法 规 、 部 门 规章 的 要 求 ， 
建立 了 规范 的 公司 治理 结构 和 议事 规则 ， 明 确 决策 、 执 行 、 监 督 等 方面 的 
职责 权限 ， 形 成 了 科学 有 效 的 职责 分 工 和 制衡 机 制 。 股 东 大 会 、 董 事 会 、 
监事 会 分 别 按 其 职责 行使 决策 权 、 执 行 权 和 和 监督 权 。 股 东 大 会 享有 法 律 法 
规 和 公司 章程 规定 的 合法 权利 ， 依 法 行使 公司 经 营 方针 、 筹 资 、 投 资 、 利 
润 分 配 等 重大 事项 的 表决 权 。 董 事 会 对 股东 大 会 负责 ， 依 法 行使 企业 的 经 
营 决 策 权 。 董 事 会 建立 了 审计 、 薪 酬 与 提名 、 投 资 与 决策 三 个 专业 委员 会 ， 
提高 董事 会 运作 效率 。 董 事 会 11 名 董事 中 ， 有 4 名 独立 董事 。 独 立 董 事 担 
任 各 个 专业 委员 会 的 召集 人 ， 涉 及 专业 的 事项 首先 要 经 过 专业 委员 会 通过 
然后 才 提 交 董 事 会 审议 ， 以 利于 独立 董事 更 好 地 发 挥 作用 。 监 事 会 对 股东 
大 会 负责 ， 除 了 通常 的 对 公司 财务 和 高 管 履 职 情况 进行 检查 监督 外 ， 还 组 
织 了 对 控股 公司 的 项 目 巡 视 ， 加 强 对 名 控股 公司 业务 监督 。 经 理 层 负责 组 
织 实 施 股 东 大 会 、 董 事 会 决议 事项 ， 主 持 企业 日 常 经 营 管理 工作 。 

公司 与 第 一 大 股东 及 其 关联 企业 在 业务 、 人 员 、 资 产 、 机 构 及 财务 等 
方面 始终 完全 分 开 ，, 保证 了 公司 具有 独立 完整 的 业务 及 自主 经 营 能 力 。 

2. 机 构 设置 及 权 责 分 配 

公司 结合 自身 业务 特点 和 内 部 控制 要 求 设置 内 部 机 构 , 明确 职责 权限 ， 
将 权利 与 责任 落实 到 各 责任 单位 。 

董事 会 负责 内 部 控制 的 建立 健全 和 有 效 实 施 。 董 事 会 下 设立 审计 委员 
会 ， 审 计 委 员 会 负责 审查 企业 内 部 控制 ， 监 督 内 部 控制 的 有 效 实施 和 内 部 
控制 自我 评价 情况 ， 指 导 及 协调 内 部 审计 及 其 他 相关 事宜 等 。 监 事 会 对 董 
事 会 建立 与 实施 内 部 控制 进行 监督 。 经 理 层 负责 组 织 领导 企业 内 部 控制 的 
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日 常 运行 。 

公司 总 部 设立 风险 管理 部 具体 负责 组 织 协调 内 部 控制 的 建立 、 实 施 及 
完善 等 日 常 工作 ， 通 过 编制 内 部 控制 评估 表 ， 组 织 总 部 、 各 控股 公司 、 各 
业务 部 门 进行 自我 评估 及 定期 检查 ， 推 进 内控 体 系 的 建立 健全 。 总 部 各 专 
业 部 门 及 各 控股 公司 均 设 有 内 控 专员 等 相关 内 控 管理 岗位 ， 负责 本 单位 内 
部 控制 的 日 常 管理 工作 。 

3. 内 部 审计 

公司 审计 部 直接 向 董事 会 审计 委员 会 汇报 工作 ， 其 负责 人 由 董事 会 任 
命 ， 保 证 了 审计 部 机 构 设 置 、 人 员 配 备 和 工作 的 独立 性 。 

审计 部 年 初 制定 年 度 审 计 计划 及 工作 程序 ， 通 过 执行 综合 审计 或 专项 
审计 业务 ， 对 公司 内 部 控制 设计 及 运行 的 有 效 性 进行 监督 检查 。 对 在 审计 
中 发 现 的 内 部 控制 缺陷 ,依据 缺陷 性 质 按照 既定 的 汇报 程序 向 管理 层 或 审 
计 委 员 会 及 监事 会 报告 。 

4. 人 力 资 源 政策 

人 才 是 万 科 的 资本 ,公司 制定 和 实施 有 利于 企业 可 持续 发 展 的 人 力 资 
源 政策 , 将 职业 道德 修养 和 专业 胜任 能 力作 为 选拔 和 聘用 员工 的 重要 标准 ， 
切实 加 强 员工 培训 和 继续 教育 ， 不 断 提升 员工 素质 。 

《万 科 职 员 手 册 》 明 确 了 以 德 为 先 原则 ,是 否 具备 良好 的 职业 道德 ,是 
万 科 判 断 人 才 的 首要 标准 。 人 力 资 源 部 制定 各 岗位 的 职位 说 明 书 ， 明 确 了 
每 个 岗位 的 职责 和 权限 。 定 期 进行 专业 人 员 的 专业 化 考试 ， 建 立 轮 岗 、 交 
流 机 制 ， 培 养 专业 人 员 全 面 的 知识 和 技能 。 每 年 人 力 资源 部 制定 相关 培训 
计划 ， 组 织 具 体 培训 活动 。 

公司 还 建立 了 全 体 员 工 的 利益 冲突 申报 制度 ， 关 键 岗 位 员工 强制 休假 
制度 和 岗位 轮换 制度 ， 以 加 强 员工 的 自律 及 防止 舞弊 行为 的 发 生 。 
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5. 企业 文化 

公司 的 核心 价值 观 “ 创 造 健 康 丰 盛 的 人 生 ” 包 含 “ 客 户 是 我 们 永远 的 
伙伴 "、“ 人 才 是 万 科 的 资本 、“ 阳 光照 亮 的 体制 ”及 “持续 的 增长 和 领跑 ” 
等 理念 。 在 坚持 核心 价值 观 的 前 提 下 ， 公 司 按照 现代 企业 制度 建立 起 了 一 
套 经 营 管理 规范 和 流程 。 公 司 高 度 重 视 企 业 文化 的 宣传 和 推广 ， 每 年 组 织 
全 公司 范围 内 的 “目标 与 行动 ”专题 活动 ， 由 公司 管理 蝴 进 行 公司 目标 和 
价值 观 的 宣讲 并 要 求 所 有 员工 签署 受训 确认 书 。 在 任用 和 选拔 优秀 人 才 时 ， 
一 贯 坚持 “ 德 才 兼备 、 以 德 为 先 ” 的 原则 ， 把 持续 培养 专业 化 、 富 有 激情 
和 创造 力 的 职业 经 理 队伍 作为 公司 创立 和 发 展 的 一 项 重要 使 命 。 

三 、 风 险 评估 

为 促进 公司 持续 、 健 康 、 稳 定 发 展 ， 实 现 经 营 目标 ， 公 司 根据 既定 的 
发 展 策略 ， 结 合 不 同 发 展 阶段 和 业务 拓展 情况 ， 全 面 系 统 持续 地 收集 相关 
信息 ， 及 时 进行 风险 评估 ， 动 态 进行 风险 识别 和 风险 分 析 ， 并 相应 调整 风 
险 应 对 策略 。 

公司 由 相关 部 门 负责 对 经 济 形势 、 产 业 政 策 、 市 场 竞 争 、 资 源 供给 等 
外 部 风险 因素 以 及 财务 状况 、 资 金 状 况 、 资 产 管理 、 运 营 管理 等 内 部 风险 
因素 进行 收集 研究 , 并 采用 定量 及 定性 相 结合 的 方法 进行 风险 分 析 及 评估 ， 
为 管理 层 制 订 风 险 应 对 策略 提供 依据 。 

2009 年 度 ， 面 对 宏观 环境 、 行 业 走 向 、 竞 争 态 势 的 种 种 不 确定 性 和 新 
的 挑战 ， 公 司 注重 提升 企业 的 专业 能 力 ， 促 进 公 司 的 发 展 由 规模 速度 型 向 
质量 效益 型 转变 , 采取 了 项 目 获 取 坚 持 “ 精 挑 细 选 ,把 握 机 会 "; 开展 成 本 
对 标 ， 提 高 集中 采购 度 水 平 ， 严 格 控制 成 本 ; 实行 费用 预算 硬 约束 和 严格 
监督 ， 降 低 费 用 水 平 ; 存货 管理 坚持 “ 量 出 为 入 ”的 策略 ， 以 及 积极 拓展 
融资 渠道 等 风险 应 对 措施 ， 以 提升 为 股东 持续 创造 价值 的 能 力 。 
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四 、 控 制 活动 

本 公司 的 主要 控制 措施 包括 : 

1. 不 相 容 职务 分 离 控制 

公司 在 岗位 设置 前 会 对 各 业务 流程 中 所 涉及 的 不 相 窜 职务 进行 分 析 、 
梳理 ， 考 虑 到 不 相 容 职务 分 离 的 控制 要 求 ， 实 施 相 应 的 分 离 措施 ， 形 成 各 
司 其 职 、 各 负 其 责 、 相 互 制约 的 工作 机 制 。 

2. 授权 审批 控制 

公司 各 项 需 审批 业务 有 明确 的 审批 权限 及 流程 ， 明 确 各 岗位 办 理 业 务 
和 事项 的 权限 范围 、 审 批 程序 和 相应 责任 。 公 司 及 各 控股 公司 的 日 常 审 
批 业务 通过 在 信息 化 平台 上 进行 自动 控制 以 保证 授权 审批 控制 的 效率 和 
效果 。 

3. 会 计 系统 控制 

公司 严格 执行 国家 统一 的 会 计 准 则 制度 ， 加 强 会 计 基 础 工作 ， 制 定 了 - 
《万 科 集 团 会 计 管理 及 核算 规范 》， 明 确 了 会 计 和 凭证 、 会 计 账簿 和 财务 会 计 
报告 的 处 理 程序 。 公 司 的 核算 工作 基本 实现 了 信息 化 处 理 ， 为 会 计 信息 及 
资料 的 真实 完整 提供 了 良好 保证 。 

4. 财产 保护 控制 

公司 建立 了 财产 日 常 管理 制度 和 定期 清查 制度 ， 各 项 实物 资产 建立 台 
账 进行 记录 、 保 管 ， 坚 持 进 行 定期 盘点 及 账 实 核对 等 措施 ， 以 保障 公司 财 
产 安 全 。 

5. 预算 控制 

公司 通过 编制 营运 计划 及 成 本 费用 预算 等 实施 预算 管理 控制 ， 明 确 各 
责任 单位 在 预算 管理 中 的 职责 权限 ， 规 范 预算 的 编制 、 审 定 、 下 达 和 和 执行 
程序 , 并 通过 对 营运 计划 的 动态 管理 强化 预算 约束 , 评估 预算 的 执行 效果 。 
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6. 运营 分 析 控 制 

公司 建立 了 运营 情况 分 析 制 度 ， 并 通过 运营 管理 平台 ,实现 了 对 公司 
运营 的 信息 化 管理 。 公 司 经 理 层 通过 月 度 经 营 例会 、 总 裁 办 公会 等 形式 ， 
定期 开展 运营 情况 分 析 ， 发 现存 在 问题 ， 及 时 调整 经 营 策略 。 

7. 绩效 考评 控制 

公司 实施 以 均衡 计 分 卡 (BSC ) 为 核心 的 组 织 绩效 管理 ， 从 财务 、 顾 
客 、 内 部 运作 和 学 习 成 长 四 个 维度 出 发 制定 考核 方案 并 据 此 对 总 部 、 区 域 
本 部 和 子 公司 进行 考核 。 公 司 每 年 组 织 季 度 考 核 、 年 度 考核 ， 考 核 结果 将 
作为 奖金 分 配 、 杜 选 与 培养 、 团 队 优化 、 薪 金 福 利 调整 等 工作 提供 依据 。 

公司 将 上 述 控制 措施 在 下 列 主要 业务 活动 中 综合 运用 ， 对 各 种 业务 及 
事项 实施 有 效 控 制 ， 促 进 内 部 控制 有 效 运行 。 

1. 销售 

2009 年 度 ， 公 司 梳 理 及 细 化 了 市 场 营 销 部 对 销售 相关 业务 的 管控 职 
责 ， 制 定 及 修订 了 包括 《万 科 集 团 营 销 费 用 分 类 管理 规范 和 《项 目 开盘 认 
购 的 操作 指引 了》《 明 源 销售 系统 使 用 规范 》 等 在 内 的 销售 管理 制度 ,遵循 
合约 明晰 、 授 权 审 批 和 不 相 容 职务 相 分 离 的 原则 ， 使 用 销售 管理 平台 对 项 
目 定价 、 认 购 、 折 扣 、 签 约 、 回 款 等 业务 进行 榨 制 和 记录 。 细 化 了 对 销售 
收 丈 等 高 风险 环节 的 控制 流程 ， 加 强 了 对 销售 费用 管理 的 控制 力度 。 实 际 
业务 控制 中 ， 所 有 业务 操作 均 需 履行 公司 设 定 的 审批 流程 ， 其 中 重大 和 关 
键 业务 操作 必须 在 得 到 子 公司 管理 层 的 审批 后 方 加 以 实施 。 同 时 制度 体系 
中 也 设计 了 复核 、 检 查 监 督 机 制 ， 完 善 对 业务 操作 的 管控 。 

2. 成 本 

公司 主要 由 工程 采购 与 成 本 管理 部 负责 对 成 本 相关 流程 的 管控 ， 本 年 
修订 了 包括 《万 科 集 团 房地产 开发 企业 成 本 核算 指导 余 《 万 科 集团 工程 款 
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支付 管理 规定 》 等 在 内 的 成 本 管理 制度 ， 实 施 成 本 对 标 管理 ， 持 续 进行 成 
本 优化 。 使 用 成 本 管理 软件 ， 对 项 目 运作 全 过 程 成 本 信息 进行 计划 管理 和 
动态 跟踪 记录 。 项 目 确定 后 ， 子 公司 按 公司 总 部 统一 要 求 编制 项 目 目标 成 
本 (成 本 计划 )， 经 公司 管理 层 和 区 域 成 本 管理 部 门 审批 确认 后 执行 ， 同 时 
录入 集团 成 本 管理 系统 。 项 目 开发 过 程 中 ， 已 发 生成 本 由 专人 负责 及 时 录 
入 成 本 软件 ， 同 时 成 本 管理 部 门 定期 对 待 发 生成 本 做 出 预测 ， 并 在 必要 时 
进行 调整 ， 从 而 对 项 目 成 本 形成 动态 跟踪 管理 。 子 公司 财务 管理 部 门 负责 
项 目 动态 成 本 中 的 非 合同 费用 录入 。 此 外 ,通过 定期 的 成 本 清查 工作 ， 保 
障 子 公司 动态 成 本 数据 准确 性 ， 总 部 与 区 域 通过 开展 成 本 检查 等 工作 对 子 
公司 成 本 信息 反映 的 及 时 性 和 准确 性 进行 监督 。 

3. 资金 

公司 本 年 已 经 制定 及 修订 了 包括 《万 科 集 团 资金 管理 制度 入 《万 科 集 
团 资金 结算 操作 规范 》 等 ， 明 确 公 司 资金 管理 、 结 算 的 要 求 ， 对 资金 业务 
进行 管理 和 控制 ， 从 而 降低 资金 使 用 成 本 并 保证 资金 安全 。 总 部 设立 资金 
管理 中 心 ， 对 公司 和 各 子 公司 的 融资 和 结算 业务 实行 统一 管理 。 子 公司 银 
行 账户 开销 户 均 需 得 到 资金 管理 中 心 的 审批 确认 ; 融资 业务 由 资金 管理 中 
心 统一 管理 ， 子 公司 对 外 进行 融资 ， 须 在 资金 管理 中 心 统一 安排 下 ， 经 审 
批 后 进行 ;付款 方面 ， 主 要 经 营 付款 亦 由 资金 管理 中 心 进 行 统一 结算 。 同 
时 ， 资 金管 理 中 心 还 通过 定期 编制 年 度 资金 计划 和 月 度 动 态 滚动 资金 计划 
强调 资金 管理 的 计划 性 ， 并 对 子 公司 的 资金 计划 完成 情况 进行 跟踪 ， 实 时 
调整 资金 安排 。 

4. 采购 

公司 主要 由 工程 采购 与 成 本 管理 部 负责 对 采购 业务 的 管控 ， 本 年 度 公 
司 已 制定 及 修订 了 包括 《工程 采购 实施 细则 》《 供 应 商 管理 细则 》 等 在 内 
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的 采购 管理 制度 ， 规 范 采购 业务 操作 ， 加 强 集中 采购 、 推 行 战略 合作 等 采 
购 模 式 和 招 投标 、 竞 争 性 谈判 等 多 种 采购 方式 ， 兼 顾 采购 的 效益 、 效 率 和 
规范 性 ， 并 使 用 采购 管理 平台 提升 采购 的 效率 和 透明 度 。 通 过 招 投标 方式 ， 
严格 进行 经 济 标 和 技术 标 评审 ， 在 公平 公正 、 充 分 竞争 的 基础 上 择优 选择 
供应 商 ， 保 证 采购 成 本 和 质量 的 合理 性 ; 通过 集中 采购 ， 整 合 内 部 需求 和 
外 部 资源 ， 最 大 限度 发 挥 采购 量 的 优势 以 实现 规模 效益 ; 通过 战略 合作 ， 
在 对 关键 产品 /服务 供应 商 进行 全 面 评估 的 基础 上 ,与 评价 为 最 优 的 供应 商 
建立 长 期 、 紧 密 、 稳 定 的 合作 关系 ， 以 达到 最 优 采 购 绩效 ;公司 各 子 公司 
均 使 用 采购 平台 ， 有 效 提高 了 采购 效率 和 透明 度 。 在 采购 付款 环节 ， 加 强 
了 支付 环节 的 核对 和 审查 及 对 供应 商 的 后 评估 ， 以 保证 付款 的 准确 性 及 合 
理性 。 

5 .重大 投资 

公司 投资 业务 主要 由 战略 与 投资 管理 部 负责 管控 ， 公 司 已 经 制定 及 修 
订 了 包括 《万 科 集 团 新 项 目 发 展 制度 》》《 万 科 集 团 新 项 目 投资 工作 指引 》 
等 在 内 的 投资 管理 制度 ， 并 使 用 新 项 目 决策 平台 对 重大 投资 进行 管理 。 本 
年 度 ， 公 司 始终 坚持 “ 精 挑 细 选 ”的 策略 ， 重 点 考虑 价格 的 合理 性 和 风险 
的 可 控 性 ， 严 格 评估 项 目 收益 的 可 行 性 ， 通 过 严格 的 分 级 授权 审批 程序 对 
重大 投资 实施 全 程 监控 。 公 司 对 投资 实行 区 域 本 部 审查 、 总 部 决策 的 控制 
模式 ， 区 域 子 公司 的 投资 项 目 ， 除 重大 战略 并 购 外 ， 其 余 均 由 区 域 本 部 进 
行 项 目 初步 审查 ， 经 总 部 相关 专业 部 门 联合 评审 后 ， 报 由 公司 管理 层 组 成 
的 投资 与 决策 委员 会 在 董事 会 授权 范围 内 进行 决策 ;公司 重大 战略 并 购 投 
资 以 及 非 区 域 子 公司 的 投资 项 目 ， 经 公司 相关 专业 部 门 联合 评审 后 ， 由 投 
资 与 决策 委员 会 直接 在 董事 会 授权 范围 内 进行 决策 。 项 目 投资 金额 超过 公 
司 董事 会 对 公司 授权 的 ， 需 在 报 董事 会 决议 通过 后 方 可 实施 。 
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6. 对 子 公 司 的 管理 

公司 构建 总 部 、 区 域 、 一 线 的 三 级 架构 体系 。 在 三 级 架构 体系 下 ， 总 
部 对 区 域 本 部 和 子 公 司 的 授权 和 职责 划分 坚持 不 相 容 职责 相 分 离 的 原则 ; 
总 部 专业 部 门 统一 制定 制度 , 对 一 线 公司 进行 专业 指导 ; 并 通过 内 部 审计 、 
专业 检查 、 监 事 巡 查 等 手段 ， 检 查 、 监 督 公司 各 层级 职责 的 有 效 履行 。 

(1) 公司 已 经 制定 《万 科 集 团 法 人 事项 管理 办 法 》 等 制度 ， 规 范 各 子 
公司 设立 及 注销 等 业务 的 控制 流程 。 对 于 超过 公司 董事 会 授权 范围 的 子 公 
司 设立 、 对 外 转让 股权 、 子 公司 解散 清算 等 ， 除 履行 公司 内 审批 程序 外 ， 
还 需 报 公司 董事 会 审议 通过 后 方 加 以 实施 ; 对 于 公司 董事 会 授权 公司 管理 
层 进行 决策 的 法 人 事项 则 在 管理 层 进行 决策 后 ， 报 董事 会 备案 。 

(2 ) 重大 事项 报告 与 审议 方面 ， 建 立 统一 规范 的 报告 渠道 和 方式 。 公 
司 制定 发 布 了 《万 科 集 团 信 息 管理 办 法 》 建立 了 包括 经 营 管理 例会 、 总 载 
办 公会 等 在 内 的 定期 、 不 定期 专题 办 公会 议 制度 ， 以 把 握 集团 的 整体 经 营 
状况 ， 并 决策 重大 经 营 管理 事项 。 子 公司 定期 向 总 部 上 报 各 类 经 营 信息 ， 
对 临时 重大 事项 ， 即 时 向 区 域 或 总 部 相关 职能 部 门 专项 报告 。 

(3 ) 财务 核算 管理 方面 ， 总 部 财务 管理 部 制定 及 修订 了 包括 《万 科 集 
团 会 计 管理 及 核算 规范 》、《 万 科 集 团 内 部 往来 、 内 部 交易 核算 规范 》 等 制 
度 ， 指 导 控 股 公司 的 财务 核算 工作 。 财 务 报告 期 林 ， 各 控股 公司 须 按照 总 
部 财务 管理 部 发 布 的 “结算 通知 ”要 求 报 送 财务 报表 ， 并 由 总 部 财务 管理 
部 对 各 控股 公司 的 核算 质量 进行 考核 。 

(4) 对 于 新 并 购 的 子 公司 ， 公 司 加 强 业 务 整 合 的 同时 ， 还 通过 内 部 培 
训 和 企业 文化 宣讲 ， 加 快 企业 融合 进程 ;通过 应 用 公司 统一 使 用 的 信息 系 
统 平台 ， 实 现 内 部 信息 及 时 传递 。 
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7. 关联 交易 

公司 对 关联 交易 采取 公平 、 公 正 、 自 愿 、 诚 信 以 及 对 公司 有 利 的 原则 ， 
关联 交易 定价 按照 公平 市 场 价格 ， 充 分 保护 各 方 投资 者 的 利益 ， 必 要 时 聘 
请 独立 财务 顾问 或 专业 评估 师 对 其 进行 评价 并 按 规定 披露 。 根 据 《 深 圳 证 
券 交 易 所 股票 上 市 规则 》 和 《公司 章程 》 的 相关 规定 ， 公 司 明确 划分 股东 
大 会 和 董事 会 对 关联 交易 的 审批 权限 。 重 大 关联 交易 在 经 独立 董事 认可 后 ， 
方 提交 董事 会 审议 。 披 露 关联 交易 时 ， 同 时 披露 独立 董事 的 意见 。 

8. 对 外 担保 

按照 证 监 会 人 《关于 规范 上 市 公司 对 外 担保 行为 的 通知 》《 深 圳 证 券 交 
盘 所 股票 上 市 规则 》 等 相关 规定 ， 公 司 制 定 了 《万 科 企 业 股 份 有 限 公司 担 
保管 理 制度 》 明确 规定 担保 业务 评审 、 批 准 、 执 行 等 环节 的 控制 要 求 ， 对 
担保 业务 进行 控制 。 原 则 上 公司 除 因 住宅 销售 业务 对 部 分 业主 提供 按揭 担 
保 外 ， 不 对 外 【〈 非 关联 公司 ) 提供 担保 ， 由 于 并 购 业 务 发 生 无 法 避免 的 担 
保 业 务 时 ， 均 履行 必要 的 内 部 审批 程序 ， 并 提请 公司 董事 会 审议 通过 ， 特 
定 担保 事项 则 在 提交 股东 大 会 审议 通过 后 ， 方 予以 实施 。 对 外 提供 的 担保 
在 必要 时 要 求 被 担保 方 提供 反 担 保 ， 以 规避 由 担保 可 能 给 公司 造成 的 损 
失 。 公司 所 有 担保 事项 由 总 部 统一 控制 并 做 后 续 管理 , 限制 控股 子 公司 提 
供 担保 。 

9. 获 集 资金 使 用 

公司 制定 《万 科 企 业 股 份 有 限 公 司 募 集资 金管 理 办 法 》 严 格 按照 《中 
华人 民 共 和 国 公司 法 》《 中 华人 民 共 和 国 证 券 法 》》《 上 市 公司 证 券 发 行 管 
理 办 法 》 等 法 律 法 规 的 相关 规定 对 募集 资金 进行 管理 ,公司 对 茵 集资 金 采 
取 了 专 户 存储 、 专 款 专用 的 原则 ， 由 总 部 资金 中 心 进 行 统一 管理 ， 并 聘请 
外 部 审计 师 对 募集 资金 存放 和 使 用 情况 进行 审计 ， 审 计 结 果 和 投资 项 目 进 
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展 情 况 在 定期 报告 中 予以 披露 。 

10. 信息 披露 

公司 根据 《中 华人 民 共 和 国 公司 法 》《 中 华人 民 共 和 国 证券 法 》《 深 
圳 证 券 交 易 所 上 市 规则 从 《公司 章程 》 等 的 有 关 规 定 ， 制 定 了 《万 科 企业 
股份 有 限 公司 信息 披露 管理 办 法 》 通过 分 级 审批 控制 保证 各 类 信息 以 适当 
的 方式 及 时 准确 完整 地 向 外 部 信息 使 用 者 传递 。 公 司 董事 会 办 公 室 负责 对 
监管 部 门 披露 要 求 的 及 时 获取 及 实时 跟踪 。 公 司 公开 披露 的 信息 文稿 由 董 
事 会 办 公 室 负责 起 草 ， 由 董事 会 秘书 进行 审核 ， 在 履行 法 定 审批 程序 后 加 
以 披露 。 公 司 选择 《中 国 证 券 报 》《 上 海 证 券 报 》《 证 养 时 报 》 巨 潮 资讯 
网 站 等 媒体 作为 公开 信息 披露 的 渠道 ， 所 披露 的 任何 信息 均 首 先 在 上 述 指 
定 媒体 披露 。 公 司 董 事 会 办 公 室 设 专人 负责 回答 投资 者 所 提 的 各 种 关于 万 
科 的 问题 ， 相 关 人 员 以 公开 披露 的 信息 作为 回答 投资 者 提问 的 依据 。 同 时 
通过 公司 外 部 网 络 中 的 投资 者 关系 栏目 及 时 公布 相关 信息 ， 与 更 广大 的 投 
资 者 进行 广泛 交流 。 

公司 相关 制度 规定 ， 信 息 披 露 相关 当事人 对 所 披露 的 信息 负 有 保密 义 
务 ， 在 未 对 外 公开 披露 前 不 得 以 任何 方式 向 外 界 透露 相关 内 容 。 公 司 对 所 
披露 信息 的 解释 由 董事 会 秘书 执行 ， 其 他 当事人 在 得 到 董事 会 授权 后 可 对 
所 披露 信息 的 实际 情况 进行 说 明 。 鞋 事 会 办 公 室 根据 信息 披露 需要 在 全 公 
司 范围 内 收集 相关 信息 ， 在 该 等 信息 未 公开 披露 前 ， 所 有 相关 人 员 均 应 履 
行 保 密 职 责 ， 凡 违反 信息 披露 要 求 的 ， 对 相关 责任 人 给 予 批评 、 警 告 处 罚 ， 
情节 严重 的 给 予 行政 和 经 济 处 分 ， 并 视 情形 追究 法 律 责 任 。 

五 、 信 息 与 沟通 

公司 已 经 制定 出 包括 《万 科 集 团 信 息 管 理 办 法 》》《 万 科 和 集团 信息 保密 
制度 了》《 集 团 总 部 会 议 管理 规定 》 等 在 内 的 各 项 制度 ， 规 范 公司 内 经 营 信 
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息 传递 秩序 。 日 常 经 营 过 程 中 ， 建 立 了 定期 与 不 定期 的 业务 与 管理 快报 、 
专项 报告 等 信息 沟通 制度 ， 便 于 全 面 及 时 了 解 公司 经 营 信 息 ， 并 通过 各 种 
例会 、 办 公会 等 方式 管理 决策 ， 保 证 公司 的 有 效 运作 。 

公司 持续 地 运用 信息 化 手段 提高 管理 决策 及 运营 效力 ， 流 程 与 信息 管 
理 部 作为 信息 化 工作 的 执行 及 管理 机 构 ， 负 责 公司 财务 系统 、 业 务 运营 系 
统 和 办 公 管理 系统 的 规划 、 开 发 与 管理 ， 负 责 组 织 公司 各 类 信息 系统 的 开 
发 与 维护 ， 在 全 公司 范围 内 提供 信息 系统 共享 服务 。 建 设 了 万 科 信 息 安全 
管理 体系 ， 制 定 了 一 系列 信息 安全 方针 、 策 略 和 制度 ， 保 护 公司 的 信息 次 
产 ， 积 极 预 防 安全 事件 的 发 生 。 公 司 还 将 持续 优化 信息 流程 并 进行 信息 系 
统 的 整合 。 

在 与 客户 、 合 作 伙伴 、 投 资 者 和 员工 关系 方面 ， 公 司 已 建立 起 较 完整 

透明 的 沟通 渠道 ， 在 完善 沟通 的 同时 发 挥 了 对 公司 管理 的 监督 作用 。 对 客 
户 ， 公 司 本 着 “与 客户 一 起 成 长 ， 让 万 科 在 投诉 中 完美 ”的 客户 理念 ， 设 
立 五 条 投诉 沟通 渠道 ， 与 客户 进行 良性 互动 ; 对 投资 者 ， 公 司 除了 通过 法 
定 信息 披露 渠道 发 布 公司 信息 外 ， 投 资 者 还 可 以 通过 电话 、 电 子 邮 件 、 
问 公司 网 站 、 直 接 到 访 公司 、 参 与 公司 组 织 的 网 络 路 演 和 见 而 和 全 方 了 
解 公司 信息 ， 公 司 建立 网 络 辅助 系统 及 时 响应 投资 者 的 各 类 需求 ， 保 证 投 
资 者 及 时 了 解 公司 的 经 营 动态 ， 通 过 互动 加 强 对 公司 的 理解 和 信任 ， 对 员 
工 ， 设 立 十 二 条 沟通 渠道 ， 保 证 沟通 顺畅 有 效 ; 对 合作 伙伴 ， 信 和 导 合作 共 
生 共 赢 ， 通 过 多 种 渠道 定期 沟通 等 多 种 渠道 ， 保 持 良 好 的 合作 关系 。 

六 、 内 部 监 

公司 已 经 建立 起 涵盖 总 部 、 区 域 、 一 线 三 个 层面 的 监督 检查 体系 ， 审 
计 部 、 风 险 管理 部 、 总 部 其 他 职能 部 门 或 聘请 的 第 三 方 对 名 业务 领 洁 六 六 
制 执行 情况 进行 定期 与 不 定期 的 专项 检查 及 评估 ， 保证 控制 活动 的 存在 起 人 
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有 效 运行 。 监 事 会 执行 内 部 反 和 舞弊 职 能 ,建立 定期 对 各 子 公司 的 巡查 机 制 ， 
并 负责 归口 处 理 实名 与 匿名 投诉 事宜 ， 有 效 发 挥 其 监督 作用 。 

七 、 重 点 控制 活动 中 的 问题 及 整改 计划 

通过 公司 自我 评价 及 整改 , 截至 2009 年 12 月 31 日 , 本 公司 内 部 控制 
体系 基本 健全 ， 未 发 现 对 公司 治理 、 经 营 管理 及 发 展 有 重大 影响 之 缺陷 及 
异常 事项 。 

八 、 内 部 控制 自我 评价 结论 

董事 会 认为 ， 公 司 已 经 建立 起 的 内 部 控制 体系 在 完整 性 、 合 规 性 、 有 
效 性 等 方面 不 存在 重大 缺陷 。 但 由 于 内 部 控制 固有 的 局 限 性 、 内 部 环境 以 
及 宏观 环境 、 政 策 法 规 持续 变化 ， 可 能 导致 原 有 控制 活动 不 适用 或 出 现 偏 
差 ， 对 此 公司 将 及 时 进行 内 部 控制 体系 的 补充 和 完善 ， 为 财务 报告 的 真实 
性 、 完 整 性 ， 以 及 公司 战略 、 经 营 等 目标 的 实现 提供 合理 保障 。 


万 科 企 业 股 份 有 限 公 司 
董事 会 
二 〇 一 〇 年 二 月 二 十 六 日 
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附录 A 
企业 内 部 控制 评价 指引 征求 意见 稿 ) 


第 一 章 总 则 


第 一 条 ”为 了 规范 企业 内 部 控制 评价 ， 全 面 评估 内 部 控制 设计 与 运行 
情况 ， 编 制 内 部 控制 评价 报告 ， 根 据 有 关 法 律 法 规 和 《企业 内 部 控制 基本 
规范 》 制定 本 指引 。 

第 二 条 ”本 指引 所 称 内 部 控制 评价 ， 是 指 企业 董事 会 (或 类 似 决 策 
机 构 ) 或 其 授权 机 构 ， 对 内 部 控制 设计 与 运行 的 有 效 性 进行 综合 评估 的 
过 程 。 

第 三 条 ”企业 应 当 根据 《企业 内 部 控制 基本 规范 》 和 本 评价 指引 ， 结 
合 本 企业 的 实际 情况 ， 制 定 内 部 控制 评价 办 法 ， 明 确 内 部 控制 评价 的 原则 
和 内 容 、 程 序 和 方法 ， 以 及 报告 形式 等 相关 内 容 ， 确 保 内 部 控制 评价 工作 
落 到 实处 。 

企业 主要 负责 人 应 当 对 内 部 控制 评价 结论 的 真实 性 负责 。 

第 四 条 ”企业 应 当 建立 内 部 控制 评价 结果 分 析 利用 和 考核 制度 ， 将 内 
部 控制 评价 结果 和 整改 情况 作为 内 部 绩效 考评 的 重要 依据 。 
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第 二 章 “评价 的 原则 和 内 容 


第 五 条 ”企业 实施 内 部 控制 评价 ， 至 少 应 当 遵循 全 面 性 、 重 要 性 和 独 
立 性 原则 ， 确 保 评 价 工 作 标 准 统一 、 客 观 公 正 。 

全 面 性 ， 是 指 评价 工作 应 当 包 括 内 部 控制 的 设计 与 运行 ， 涵 盖 企 业 及 
其 所 属 单位 的 各 种 业务 和 事项 。 

重要 性 ， 是 指 在 全 面 评价 的 基础 上 关注 重要 高 风险 领域 。 

独立 性 ， 是 指 评价 工作 应 当 与 内 部 控制 的 设计 与 运行 相互 分 离 。 

第 六 条 ”企业 内 部 控制 评价 应 当 以 内 部 环境 为 基础 ， 重 点 关注 : 治理 
结构 是 否 形 同 虚设 ; 发 展 战略 是 否 可 行 ， 机 构 设 置 是 否 重生 ， 权 责 分 配 是 
否 明 晰 ; 不 相 容 岗位 是 否 分 离 ; 人力 资源 政策 和 激励 约束 机 制 是 否 科学 合 
理 ; 企业 文化 是 否 促进 员工 勤勉 尽责 ; 社会 责任 是 否 有 效 履 行 等 。 

第 七 条 ”企业 内 部 控制 评价 应 当 以 生产 经 营 活动 为 重点 ， 至 少 关注 : 
资金 的 筹集 、 投 放 和 营运 过 程 是 否 存在 资金 链 断 裂 ; 资产 运行 中 是 否 存 在 
效能 低下 或 资产 流失 ; 采购 与 销售 环节 是 否 存在 舞弊 行为 ; 研发 项 目 是 否 
经 过 科学 论证 ; 工程 项 目 是 否 存在 商业 贿赂 等 。 

第 八条 ”企业 内 部 控制 评价 应 当 兼 顾 控 制 手段 ， 至 少 关注 : 全 面 预算 
是 否 具有 约束 力 ; 合同 履行 是 否 存在 纠纷 ; 信息 系统 是 否 与 内 部 控制 有 机 
结合 ; 内 部 报告 是 否 及 时 传递 和 有 效 沟通 等 。 


第 三 章 ”评价 的 程序 和 方法 
第 九条 ”企业 应 当 指 定 内 部 审计 机 构 或 其 他 机 构 具 体 组 织 实施 内 部 控 
制 评价 工作 ， 根 据 内 部 控制 评价 办 法 制定 评价 方案 ， 组 成 评价 小 组 ， 明 确 
分 工 和 进度 安排 ,采取 现场 检查 等 方式 开展 内 部 控制 评价 。 
企业 可 以 借助 中 介 机 构 或 外 部 专家 实施 内 部 控制 评价 ， 参 与 企业 内 部 
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控制 评价 的 中 介 机 构 不 得 同时 为 同一 企业 提供 内 部 控制 审计 服务 。 

第 十 条 ”企业 开展 内 部 控制 评价 ， 应 当 编 制 工作 底稿 。 工 作 底稿 应 当 
由 评价 小 组 直接 填写 ， 指 定 专人 严格 复核 。 

第 十 一 条 ”评价 小 组 可 以 综合 运用 个 别 访谈 、 调 查 问卷 、 专 题 讨论 、 
穿行 测试 、 统 计 抽样 、 比 较 分 析 等 多 种 方法 ， 广 泛 收 集 被 评价 单位 内 部 控 
制 设计 和 有 效 运行 的 证 据 ， 研 究 认定 内 部 控制 设计 缺陷 和 运行 缺陷 。 

评价 小 组 研究 认定 的 内 部 控制 缺陷 ， 应 当 按照 规定 的 权限 和 程序 报 经 
审批 后 确定 。 

第 十 二 条 ”企业 应 当 对 内 部 控制 缺陷 进行 综合 判断 ， 按 其 严重 程度 分 
为 重大 缺陷 、 重 要 缺陷 和 一 般 缺 陷 。 

重大 缺陷 ， 是 指 一 个 或 多 个 控制 缺陷 的 组 合 ， 可 能 导致 企业 严重 偏离 
控制 目标 的 情形 。 

重要 缺陷 ， 是 指 一 个 或 多 个 控制 缺陷 的 组 合 ， 其 严重 程度 和 经 济 后 果 
低 于 重大 缺陷 ， 但 仍 有 可 能 导致 企业 偏离 控制 目标 的 情形 。 

一 般 缺 陷 ， 是 指 除 重 大 缺陷 、 重 要 缺陷 之 外 的 其 他 控制 缺陷 。 

第 十 三 条 ”重大 缺陷 应 当 根据 本 指引 第 五 条 、 第 六 条 、 第 七 条 规定 和 
重大 缺陷 的 定义 ， 结 合 企业 实际 情况 ， 具 体 加 以 认定 。 

重要 缺陷 和 一 般 缺 陷 由 企业 自行 确定 。 

第 十 四 条 ”企业 应 当 建 立 内 部 控制 缺陷 整改 机 制 ， 明 确 内 部 各 管理 层 
级 和 单位 整改 的 职责 分 工 ， 确 保 内 部 控制 设计 与 运行 中 的 主要 问题 和 重大 
风险 得 到 及 时 解决 和 有 效 控制 。 

董事 会 负责 重大 缺陷 的 整改 ， 接 受 监事 会 的 监督 。 经 理 层 负 责 重要 缺 
陷 的 整改 ， 接 受 董事 会 的 监督 。 内 部 有 关 单 位 负责 一 般 缺 陷 的 整改 ， 接 受 
经 理 层 的 监督 。 
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合 规 实务 ,指南 


第 四 章 ”内 部 控制 评价 报告 
第 十 五 条 ”企业 应 当 根 据 内 部 控制 评价 结果 和 整改 情况 ， 编 制 内 部 控 


制 评价 报告 。 内 部 控制 评价 报告 至 少 应 当 包 括 下 列 内 容 : 


(一 ) 组 织 实施 内 部 控制 评价 的 总 体 情 况 。 

(二 ) 内 部 控制 责任 主体 的 声明 。 

(三 ) 内 部 控制 评价 的 范围 和 内 容 。 

( 四) 内 部 控制 评价 的 标准 和 依据 。 

(五 ) 内 部 控制 评价 的 程序 和 方法 。 

(六 ) 内 部 控制 重大 缺陷 及 其 认定 情况 。 

(七 ) 内 部 控制 重大 缺陷 的 整改 措施 及 责任 追究 情况 。 

( 八 ) 内 部 控制 有 效 性 的 结论 。 

存在 一 个 或 多 个 内 部 控制 重大 缺陷 的 , 应 当做 出 内 部 控制 无 效 的 结论 。 
第 十 六 条 “企业 内 部 控制 评价 报告 应 当 报 企业 经 理 层 审核 、 董 事 会 审 


定 后 公布 。 


第 十 七 条 ”企业 应 当 以 12 月 31 日 作为 年 度 内 部 控制 评价 报告 的 基准 


日 , 也 可 选择 6 月 30 日 为 基准 日 。 内 部 控制 评价 报告 应 于 基准 日 后 4 个 月 
内 报 出 。 
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企业 内 部 控制 审计 指引 《征求 意见 稿 ) 


第 一 章 总则 

第 一 条 ”为 了 规范 注册 会 计 师 执行 企业 内 部 控制 审计 业务 ， 明 确 工 作 
要 求 ， 保 证 执业 质量 ， 根 据 《中 国 注册 会 计 师 鉴证 业务 基本 准则 》 及 相关 
执业 准则 ， 制 定 本 指引 。 

第 二 条 “本 指引 所 称 内 部 控制 审计 ， 是 指 会 计 师 事务 所 接受 委托 ， 对 
截至 特定 日 期 企业 内 部 控制 的 有 效 性 进行 审计 ， 并 发 表 审计 意见 。 

本 指引 中 内 部 控制 审计 的 范围 ， 主 要 是 企业 为 了 合理 保证 财务 报告 及 
相关 信息 真实 完整 、 资 产 安全 而 设计 和 执行 的 内 部 控制 。 用 以 合理 保证 资 
产 安 全 的 内 部 控制 ， 可 能 涉及 合理 保证 经 营 效率 和 效果 、 经 营 管理 合法 合 
规 的 内 部 控制 。 

注册 会 计 师 在 内 部 控制 审计 或 财务 报表 审计 中 实施 的 程序 并 不 是 企业 
内 部 控制 的 组 成 部 分 。 

第 三 条 ”在 企业 治理 层 的 监督 下 ， 按 照 《 企 业内 部 控制 基本 规范 》 和 
相关 规定 ， 设 计 、 实 施 和 维护 有 效 的 内 部 控制 ， 并 评价 其 有 效 性 是 企业 管 
理 层 的 责任 。 按 照 本 指引 的 要 求 ， 在 实施 审计 工作 的 基础 上 对 内 部 控制 的 
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有 效 性 发 表 审计 意见 ， 是 注册 会 计 师 的 责任 。 

内 部 控制 审计 不 能 减轻 企业 管理 层 的 责任 。 

第 四 条 “有效 的 内 部 控制 能 够 为 财务 报告 及 相关 信息 真实 完整 、 资 产 
安全 提供 合理 保证 。 

如 果 存 在 一 项 或 多 项 重大 缺陷 ， 内 部 控制 应 被 认定 为 无 效 。 

即使 财务 报表 不 存在 重大 错 报 ， 内 部 控制 也 可 能 存在 重大 缺陷 。 

第 五 条 ”注册 会 计 师 应 当 计 划 和 实施 审计 工作 ， 获 取 充 分 、 适 当 的 证 
据 ， 为 截至 特定 日 期 内 部 控制 是 否 不 存在 重大 缺陷 提供 合理 保证 ， 并 作为 
支持 审计 意见 的 基础 。 


第 二 章 ”整合 审计 

第 六 条 ”注册 会 计 师 应 当 将 内 部 控制 审计 与 财务 报表 审计 整合 进行 
“(以 下 简称 整合 审计 )。 

内 部 控制 审计 和 财务 报表 审计 的 目标 不 同 。 注 册 会 计 师 应 当 计 划 和 实 
施 审 计 工 作 ， 以 同时 实现 两 者 的 目标 。 

第 七 条 ”在 整合 审计 中 ,注册 会 计 师 应 当 计划 和 实施 对 控制 设计 和 运 
行 有 效 性 的 测试 ， 以 同时 实现 下 列 目标 : 

(一 ) 获取 充分 、 适 当 的 证 据 , 支持 其 在 内 部 控制 审计 中 对 内 部 控制 的 
有 效 性 发 表 的 意见 ; 

(二 ) 获取 充分 、 适 当 的 证 据 , 支持 其 在 财务 报表 审计 中 对 内 部 控制 的 
风险 评估 结果 。 


第 三 章 ”计划 审计 工作 


第 一 节 总 体 要 求 
第 八条 ”注册 会 计 师 应 当 恰 当地 计划 内 部 控制 审计 工作 ， 并 对 助理 人 
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员 进 行 适当 的 督导 。 

第 九条 ”在 计划 整合 审计 工作 时 ， 注 册 会 计 师 应 当 评 价 下 列 事项 对 财 
务 报表 和 内 部 控制 是 否 有 重要 影响 ， 以 及 有 重要 影响 的 事项 将 如 何 影响 审 
计 工 作 : 

(一 ) 注册 会 计 师 执行 其 他 业务 时 了 解 的 情况 ; 

(二 ) 在 评价 是 否 接受 与 保持 客户 和 业务 时 , 注册 会 计 师 了 解 的 与 企业 
相关 的 风险 情况 ; 

(三 ) 影响 企业 所 处 行业 的 事项 ,如 行业 财务 报告 惯例 、 经 济 状况 和 技 
术 革 新 ; 

(四 ) 与 企业 相关 的 法 律 法 规 ; 

(五 ) 与 企业 经 营 相关 的 重要 事项 ， 包 括 组 织 结 构 、 经 营 特征 和 资本 
结构 ; 

(六 ) 经 营 活动 的 复杂 程度 ; 

(七 ) 经 营 活动 或 内 部 控制 最 近 发 生变 化 的 程度 ; 

( 八 ) 注册 会 计 师 对 重要 性 、 风 险 以 及 与 确定 内 部 控制 重大 缺陷 相关 的 
其 他 因素 所 作 的 初步 判断 ; 

( 九 ) 以 前 与 审计 委员 会 或 管理 层 沟 通过 的 控制 缺陷 ; 

(十 ) 可 获取 的 、 与 内 部 控制 有 效 性 相关 的 证 据 的 类 型 和 范围 ; 

(十 一 ) 对 内 部 控制 有 效 性 的 初步 判断 ; 

(十 二 ) 与 评价 财务 报表 发 生 重大 错 报 的 可 能 性 和 内 部 控制 有 效 性 相关 
的 公开 信息 。 

第 二 节 ”风险 评估 的 作用 

第 十 条 ”在 内 部 控制 审计 中 ， 注 册 会 计 师 应 当 以 风险 评估 为 基础 ， 确 

定 重 要 账户 、 列 报 及 其 相关 认定 ， 选 择 拟 测试 的 控制 ， 以 及 确定 针对 特定 
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控制 所 需 收集 的 证 据 。 

第 十 一 条 ”内 部 控制 的 特定 领域 存在 重大 缺陷 的 风险 越 高 ， 给 予 该 领 
域 的 审计 关注 就 越 多 。 

注册 会 计 师 应 当 更 多 地 关注 高 风险 领域 ， 而 没有 必要 测试 那些 即使 有 
缺陷 、 也 不 可 能 导致 财务 报表 重大 错 报 的 控制 。 

第 十 二 条 ”在 进行 风险 评估 以 及 确定 审计 程序 时 ， 注 册 会 计 师 应 当 考 
虑 企业 组 织 结构 、 经 营 流程 或 业务 单元 的 复杂 程度 可 能 产生 的 重要 影响 。 

第 三 节 ”调整 审计 工作 

第 十 三 条 ”企业 组 织 结构 、 经 营 流程 及 业务 单元 的 规模 和 复杂 程度 影 
响 许 多 控制 目标 的 实现 方式 。 注 册 会 计 师 应 当 根 据 企 业 具体 情况 调整 审计 
工作 ， 以 获取 充分 、 适 当 的 证 据 ， 支 持 发 表 的 审计 意见 。 

第 四 节 ”应 对 舞弊 风 险 

第 十 四 条 “在 计划 和 实施 内 部 控制 审计 工作 时 ， 注 册 会 计 师 应 当 考虑 
财务 报表 审计 中 对 有 舞 次 风险 的 评估 结果 。 在 识别 和 测试 企业 层面 控制 以 及 
选择 其 他 控制 进行 测试 时 ， 注 册 会 计 师 应 当 评价 企业 的 控制 是 否 足以 应 对 
已 识别 的 、 由 舞 整 导致 的 重大 错 报 风险 ， 并 评价 为 应 对 管理 层 凌 驾 于 控制 
之 上 的 风险 而 设计 的 控制 。 

第 十 五 条 “在 内 部 控制 审计 中 ， 如 果 识 别 出 旨 在 防止 或 发 现 舞弊 的 控 
制 存在 缺陷 ， 注 册 会 计 师 在 财务 报表 审计 中 应 当 按 照 《中 国 注册 会 计 师 审 
计 准 则 第 1141 号 一 一 财务 报表 审计 中 对 舞弊 的 考虑 》 的 规定 ， 在 制定 应 对 
重大 错 报 风险 的 方案 时 考虑 这 些 缺 陷 。 

第 五 节 ”利用 其 他 相关 人 员 的 工作 

第 十 六 条 ”注册 会 计 师 应 当 评 估 是 否 利用 他 人 〈 包括 企业 的 内 部 审计 

人 员 、 其 他 人 员 以 及 在 管理 层 或 审计 委员 会 指导 下 的 第 三 方 ) 的 工作 以 及 
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利用 的 程度 ， 以 减少 可 能 本 应 由 注册 会 计 师 执 行 的 工作 。 

如 果 决 定 利用 内 部 审计 人 员 的 工作 ， 注 册 会 计 师 应 当 按照 《中 国 注 册 
会 计 师 审计 准则 第 1411 号 一 一 考虑 内 部 审计 工作 》 的 规定 办 理 。 

第 十 七 条 ”如 果 拟 利用 他 人 的 工作 ， 注 册 会 计 师 应 当 评 价 该 人 员 的 专 
业 胜 任 能 力 和 客观 性 ， 以 确定 可 利用 程度 。 

第 十 八条 ”在 内 部 控制 审计 中 , 注册 会 计 师 利用 他 人 工作 的 程度 还 受 
到 与 被 测试 控制 相关 的 风险 的 影响 。 与 某 项 控制 相关 的 风险 越 高 , 可 利用 
他 人 工作 的 程度 就 越 低 ， 注 册 会 计 师 应 当 越 多 地 亲自 对 该 项 控制 进行 
测试 。 

第 十 九条 ”如果 其 他 注册 会 计 师 负责 审计 企业 的 一 个 或 多 个 分 部 、 分 
支 机 构 、 子 公司 等 组 成 部 分 的 财务 报表 和 内 部 控制 ， 注 册 会 计 师 应 当 按 照 
《中 国 注册 会 计 师 审计 准则 第 1401 号 一 一 利用 其 他 注册 会 计 师 的 工作 》 的 
规定 ， 确 定 自己 能 否 担任 主 审 注册 会 计 师 ， 以 及 是 否 利 用 其 他 注册 会 计 师 
的 工作 。 

第 六 节 ”确定 重要 性 水 平 

第 二 十 条 ”在 计划 内 部 控制 审计 工作 时 ， 注 册 会 计 师 应 当 使 用 与 财务 

报表 审计 相同 的 重要 性 水 平 。 
第 七 节 ”对 企业 使 用 服务 机 构 的 考虑 

第 二 十 一 条 ”在 内 部 控制 审计 中 ， 如 果 服 务 机 构 执 行 企业 的 交易 ， 并 
履行 受托 责任 ,该 服务 机 构 的 服务 可 能 影响 企业 的 内 部 控制 。 在 这 种 情况 
下 , 注册 会 计 师 应 当 按照 《中 国 注册 会 计 师 审计 准则 第 1212 号 一 一 对 被 审 
计 单 位 使 用 服务 机 构 的 考虑 》 的 规定 办 理 。 
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合 , 规 ,实务 ,指南 中 


第 四 章 ”实施 审计 工作 


第 一 节 ”总 体 要 求 
第 二 十 二 条 ”管理 层 实施 的 内 部 控制 评价 应 当 以 控制 环境 ( 也 称 内 部 


环境 ) 为 基础 ， 以 生产 经 营 活动 为 重点 ， 并 兼顾 控制 手段 。 相 应 的 ， 在 内 
部 控制 审计 中 , 注册 会 计 师 应 当 以 风险 评估 为 基础 , 运用 自 上 而 下 的 方法 ， 
选择 拟 测试 的 控制 。 


第 二 十 三 条 ” 自 上 而 下 的 方法 按照 下 列 思 路 展开 : 

(一 ) 从 财务 报表 层次 初步 了 解 内 部 控制 整体 风险 ; 

《二 ) 识别 企业 层面 控制 ; 

(三 ) 识别 重要 账户 、 列 报 及 其 相关 认定 ; 

(四 ) 了 解 错 报 的 可 能 来 源 ; 

(五 ) 选择 拟 测试 的 控制 。 

自 上 而 下 的 方法 是 注册 会 计 师 识别 风险 、 选 择 拟 测试 的 控制 的 思路 ， 


但 并 不 一 定 是 实施 审计 工作 的 顺序 。 


第 二 节 ”识别 企业 层面 控制 
第 二 十 四 条 ”注册 会 计 师 应 当 测 试 对 评价 内 部 控制 有 效 性 有 重要 影响 


的 企业 层面 控制 。 对 企业 层面 控制 的 评价 ， 可 能 增加 或 减少 本 应 对 其 他 控 
制 进行 的 测试 。 


第 二 十 五 条 ”企业 层面 控制 包括 : 

(一 ) 与 控制 环境 相关 的 控制 ; 

(二 ) 针对 管理 层 凌驾 于 控制 之 上 的 风险 而 设计 的 控制 ; 
(三 ) 企业 的 风险 评估 过 程 ; 

(四) 集中 化 的 处 理 和 控制 ， 包 括 共享 的 服务 环境 ; 
(五 ) 监控 经 营 成 果 的 控制 ; 
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(六 ) 监督 其 他 控制 的 控制 , 包括 内 部 审计 职能 、 审 计 委 员 会 的 活动 及 
内 部 控制 自我 评价 ; 

(七 ) 对 期 末 财 务 报告 流 程 的 控制 ; 

( 八 ) 针对 重大 经 营 控制 及 风险 管理 实务 而 采取 的 政策 。 

第 二 十 六 条 ”控制 环境 对 保持 有 效 的 内 部 控制 有 重要 影响 ， 注 册 会 计 
师 应 当 评 价 企业 的 控制 环境 。 

第 二 十 七 条 ”期 未 财务 报告 流程 对 内 部 控制 审计 和 财务 报表 审计 有 重 
要 影响 ， 注 册 会 计 师 应 当 评 价 期 末 财 务 报告 流程 。 

期 末 财 务 报告 流程 包括 : 

(一 ) 将 交易 总 额 登 人 总 分 类 账 的 程序 ; 

( 二 ) 与 会 计 政 策 的 选择 和 运用 相关 的 程序 ; 

(三 ) 总 分 类 账 中 会 计 分 录 的 编制 、 批 准 等 处 理 程 序 ; 

( 四 ) 对 财务 报表 进行 调整 的 程序 ; 

(五 ) 编制 财务 报表 的 程序 。 

由 于 期 末 财 务 报告 流程 通常 发 生 在 管理 层 评 价 日 之 后 ， 注 册 会 计 师 一 
般 只 能 在 该 日 之 后 测试 相关 控制 。 

第 三 节 ”识别 重要 账户 、 列 报 及 其 相关 认定 

第 二 十 八条 ”注册 会 计 师 应 当 识 别 重要 账户 、 列 报 及 其 相关 认定 。 

如 果 某 账户 或 列 报 可 能 包含 了 一 个 错 报 ， 该 错 报 单独 或 连同 其 他 错 报 
将 对 财务 报表 产生 重大 影响 (需要 同时 考虑 多 报 和 少 报 的 风险 ), 则 该 账户 
或 列 报 为 重要 账户 或 列 报 。 判 断 某 账户 或 列 报 是 否 为 重要 账户 或 列 报 ， 应 
当 依据 其 固有 风险 ， 而 不 应 考虑 相关 控制 的 影响 。 

如 果 某 财务 报表 认定 可 能 包含 了 一 个 或 多 个 错 报 ， 这 个 或 这 些 错 报 将 
导致 财务 报表 重大 错 报 ， 则 该 认定 为 相关 认定 。 判 断 某 认定 是 否 为 相关 认 
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定 ， 应 当 依据 其 固有 风险 ， 而 不 应 考虑 相关 控制 的 影响 。 

第 二 十 九条 “为 识别 重要 账户 、 列 报 及 其 相关 认定 ， 注 册 会 计 师 应 当 
从 下 列 方面 评价 财务 报表 项 目 及 附注 的 错 报 风险 因素 : 

(一 ) 账户 的 规模 和 构成 ; 

《二 ) 易于 发 生 错 报 的 程度 ; 

(三 ) 账户 或 列 报 中 反映 的 交易 的 业务 量 、 复 杂 性 及 同 质 性 ; 

( 四) 账户 或 列 报 的 性 质 ; . 

(五 ) 与 账户 或 列 报 相关 的 会 计 处 理 及 报告 的 复杂 程度 ; 

(六 ) 账户 发 生 损失 的 风险 ; 

(七 ) 账户 或 列 报 中 反映 的 活动 引起 重大 或 有 负债 的 可 能 性 ; 

( 八 ) 账户 记录 中 是 否 涉及 关联 方 交 易 ; 

〈 九 ) 账户 或 列 报 的 特征 与 前 期 相 比 发 生 的 变化 。 

第 三 十 条 ”在 识别 重要 账户 、 列 报 及 其 相关 认定 时 ， 注 册 会 计 师 还 应 
当 确定 对 财务 报表 产生 重大 影响 的 潜在 错 报 的 可 能 来 源 。 注 册 会 计 师 可 通 
过 考虑 在 特定 的 重要 账户 或 列 报 中 错 报 可 能 发 生 的 领域 和 原因 ， 确 定 潜在 
错 报 的 可 能 来 源 。 

第 三 十 一 条 ”在 内 部 控制 审计 中 ， 注 册 会 计 师 在 识别 重要 账户 、 列 报 
及 其 相关 认定 时 应 当 评价 的 风险 因素 , 与 财务 报表 审计 中 考虑 的 因素 相同 。 
因此 ， 在 这 两 种 审计 中 识别 的 重要 账户 、 列 报 及 其 相关 认定 应 当 相 同 。 

在 财务 报表 审计 中 ， 注 册 会 计 师 可 能 针对 非 重要 账户 、 列 报 及 其 相关 
认定 实施 实质 性 程序 。 

第 三 十 二 条 ”如果 某 潜在 重要 账户 或 列 报 的 各 组 成 部 分 存在 的 风险 差 
异 较 大 ， 企 业 可 能 采用 不 同 的 控制 以 应 对 这 些 风 险 ， 注 册 会 计 师 应 当 分 别 
处 理 。 
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第 四 节 ”了 解 错 报 的 可 能 来 源 

第 三 十 三 条 ”注册 会 计 师 应 当 执 行 下 列 工作 ， 了 人 解 潜 在 错 报 的 可 能 来 
源 ， 以 选择 拟 测 试 的 控制 : 

(一 ) 了 解 与 相关 认定 有 关 的 交易 的 处 理 流程 ,包括 这 些 交 易 如 何 生成 、 
批准 、 处 理 及 记录 ; 

(二 ) 验证 注册 会 计 师 已 识别 出 的 、 业 务 流程 中 可 能 发 生 重大 错 报 ( 尤 
其 是 由 舞弊 导致 的 鲁 报 ) 的 环节 ; 

(三 ) 识别 管理 层 用 于 应 对 这 些 潜在 错 报 的 控制 ; 

( 四 ) 识别 管理 层 用 于 及 时 防止 或 发 现 未 经 授权 的 、 导 致 财务 报表 重大 
错 报 的 资产 取得 、 使 用 或 处 置 的 控制 。 

第 三 十 四 条 ”注册 会 计 师 应 当 了 解 信息 技术 如 何 影响 企业 的 业务 流 
程 。 注 册 会 计 师 应 当 按照 《中 国 注 册 会 计 师 审计 准则 第 1211 号 一 一 了 解 被 
审计 单位 及 其 环境 并 评估 重大 错 报 风险 》 的 规定 ， 考 虑 信息 技术 对 内 部 控 
制 及 风险 评估 的 影响 。 

第 三 十 五 条 ”穿行 测试 通常 是 完成 本 指引 第 三 十 三 条 所 规定 工作 的 最 
有 效 方式 。 穿 行 测试 是 指 追踪 某 笔 交易 从 发 生 到 最 终 被 反映 在 财务 报表 中 
的 整个 处 理 过 程 。 

在 执行 穿行 测试 时 ， 注 册 会 计 师 使 用 的 文件 和 信息 技术 应 当 与 企业 员 
工 使 用 的 相同 。 

在 执行 穿行 测试 时 , 通常 需要 综合 运用 询问 适当 人 员 、 观察 经 营 活动 、 
检查 相关 文件 及 重新 执行 控制 等 程序 。 

第 三 十 六 条 ”在 执行 穿行 测试 时 ， 针 对 特定 交易 的 重要 处 理 环 节 ， 注 
册 会 计 师 可 以 询问 企业 员工 对 规定 程序 及 控制 的 了 解 程度 。 这 些 试探 性 提 
问 连 同 穿行 测试 中 的 其 他 程序 ， 可 以 帮助 注册 会 计 师 充 分 了 解 业务 流程 ， 
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识别 必要 控制 设计 无 效 或 出 现 缺失 的 重要 环节 。 
第 五 节 ”选择 拟 测试 的 控制 

第 三 十 七 条 ”注册 会 计 师 应 当 评 价 控 制 是 否 足 以 应 对 评估 的 每 个 相关 
认定 的 错 报 风险 ， 并 选择 其 中 对 形成 评价 结论 具有 重要 影响 的 控制 进行 测 
试 。 

第 三 十 八条 ”对 特定 的 相关 认定 而 言 ， 可 能 有 多 项 控制 应 对 评估 的 错 
报 风 险 ; 反之 ,一 项 控制 可 能 应 对 评估 的 多 个 相关 认定 的 错 报 风险 。 注 册 
会 计 师 没 有 必要 测试 与 某 个 相关 认定 有 关 的 所 有 控制 。 

第 三 十 九条 ”在 确定 是 否 测试 某 项 控制 时 ， 不 论 该 项 控制 的 分 类 和 名 
称 如 何 ， 注 册 会 计 师 应 当 考 虑 其 单独 或 连同 其 他 控制 ， 是 否 足 以 应 对 评估 
的 某 项 相关 认定 的 错 报 风险 。 

第 六 节 ”测试 控制 设计 的 有 效 性 

第 四 十 条 ”注册 会 计 师 应 当 测试 控制 设计 的 有 效 性 。 

如 果 某 项 控制 由 拥有 必要 授权 和 专业 胜任 能 力 的 人 员 按 规定 执行 ， 能 
够 实现 控制 目标 ， 从 而 有 效 防止 或 发 现 可 能 导致 财务 报表 重大 错 报 的 错误 
或 舞 次 ， 则 表明 该 项 控制 的 设计 是 有 效 的 。 

第 四 十 一 条 ”注册 会 计 师 在 测试 控制 设计 的 有 效 性 时 ， 应 当 综 合 运 用 
询问 适当 人 员 、 观 察 经 营 活动 和 检查 相关 文件 等 程序 。 

执行 穿行 测试 通常 足以 评价 控制 设计 的 有 效 性 。 

第 七 节 ”测试 控制 运行 的 有 效 性 

第 四 十 二 条 ”注册 会 计 师 应 当 测 试 控制 运行 的 有 效 性 。 

如 果 某 项 控制 正在 按照 设计 运行 、 执 行人 员 拥 有 必要 授权 和 专业 胜任 
能 力 ， 则 表明 该 项 控制 的 运行 是 有 效 的 。 

第 四 十 三 条 ”注册 会 计 师 在 测试 控制 运行 的 有 效 性 时 ， 应 当 综 合 运用 
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询问 适当 人 人员、 观察 经 营 活动 、 检 查 相关 文件 以 及 重新 执行 控制 等 程序 。 
第 八 节 ”风险 与 拟 获取 证 据 的 关系 

第 四 十 四 条 ”在 测试 所 选 定 控制 的 有 效 性 时 ， 注 册 会 计 师 应 当 根 据 与 
控制 相关 的 风险 ， 确 定 所 需 获 取 的 证 据 。 

与 控制 相关 的 风险 包括 控制 可 能 无 效 的 风险 和 因 控 制 无 效 而 导致 重大 
缺陷 的 风险 。 与 控制 相关 的 风险 越 高 , 注册 会 计 师 需要 获取 的 证 据 就 越 多 。 

注册 会 计 师 应 当 针对 每 一 相关 认定 获取 控制 有 效 性 的 证 据 ， 以 便 对 内 
部 控制 整体 的 有 效 性 发 表意 见 , 但 没有 责任 对 单项 控制 的 有 效 性 发 表意 见 。 

第 四 十 五 条 ”得 出 控制 运行 无 效 的 结论 所 需 的 证 据 通常 比 得 出 其 运行 
有 效 的 结论 所 需 的 证 据 少 。 

第 四 十 六 条 “下列 因素 影响 与 某 项 控制 相关 的 风险 : 

(一 ) 该 项 控制 拟 防止 或 发 现 的 错 报 的 性 质 和 重要 程度 ; 

(二 ) 相关 账户 、 列 报 及 其 认定 的 固有 风险 ; 

(三 ) 相关 账户 或 列 报 是 否 曾 经 出 现 错 报 ; 

( 四 ) 交 易 的 数量 和 性 质 是 否 发 生变 化 , 进而 可 能 对 该 项 控制 设计 或 运 
行 的 有 效 性 产生 不 利 影响 ; 

(五 ) 企业 层面 控制 (特别 是 监督 其 他 控制 的 控制 ) 的 有 效 性 ; 

(六 ) 该 项 控制 的 性 质 及 其 执行 频率 ; 

(七 ) 该 项 控制 对 其 他 控制 ( 如 控制 环境 或 信息 技术 一 般 控 制 ) 有 效 性 
的 依赖 程度 ; 

( 八 ) 该 项 控制 的 执行 或 监督 人 员 的 专业 胜任 能 力 , 以 及 其 中 的 关键 人 
员 是 否 发 生变 化 ; 

( 九 ) 该 项 控制 是 人 工控 制 还 是 自动 化 控制 ; 

(十 ) 该 项 控制 的 复杂 程度 ， 以 及 在 运行 过 程 中 依赖 判断 的 程度 。 
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第 四 十 七 条 “如果 发 现 控制 偏差 ， 注 册 会 计 师 应 当 确定 该 偏差 对 相关 
风险 评估 、 需 要 获取 的 证 据 以 及 控制 运行 有 效 性 结论 的 影响 。 

第 四 十 八条 ”注册 会 计 师 通过 测试 控制 有 效 性 获取 的 证 据 ， 取 决 于 实 
施 程 序 的 性 质 、 时 间 和 范围 的 组 合 。 就 单项 控制 而 言 ， 注 册 会 计 师 应 当 根 
据 与 该 项 控制 相关 的 风险 ,适当 组 合 实施 程序 的 性 质 、 时 间 和 范围 ， 以 获 
取 充 分 、 适 当 的 证 据 。 

第 四 十 九条 ”注册 会 计 师 测试 控制 有 效 性 实施 的 程序 ， 按 提供 证 据 的 
效力 ， 由 弱 到 强 排序 为 询问、 观察、 检查 和 重新 执行 。 

询问 本 身 并 不 能 为 得 出 控制 是 否 有 效 的 结论 提供 充分 、 适 当 的 证 据 。 

第 五 十 条 “测试 控制 有 效 性 实施 的 程序 ， 其 性 质 在 很 大 程度 上 取决 于 
拟 测试 控制 的 性 质 。 某 些 控制 可 能 存在 文件 记录 ， 反 映 其 运行 的 有 效 性 ， 
而 另外 一 些 控制 ， 如 管理 理念 和 经 营 风 格 ， 可 能 没有 书面 的 运行 证 据 。 

对 缺乏 正式 运行 证 据 的 企业 或 业务 单元 ,注册 会 计 师 可 以 通过 询问 并 
结合 运用 观察 活动 、 检 查 非 正式 的 书面 记录 和 重新 执行 某 些 控制 ， 获 取 有 
关 控 制 有 效 性 的 充分 、 适 当 的 证 据 。 

第 五 十 一 条 ”对 控制 有 效 性 的 测试 涵盖 的 期 间 越 长 ， 提 供 的 控制 有 效 
性 的 证 据 越 多 。 

对 控制 有 效 性 的 测试 实施 的 时 间 越 接近 管理 层 评价 日 ， 提 供 的 控制 有 
效 性 的 证 据 越 有 力 。 

为 获取 充分 、 适 当 的 证 据 ， 注 册 会 计 师 应 当 在 下 列 两 个 因素 之 间 做 出 
平衡 ， 以 确定 测试 的 时 间 : 

(一 ) 尽量 在 接近 管理 层 评价 日 实施 测试 ; 

(二 ) 实施 的 测试 需要 涵盖 足够 长 的 期 间 。 

第 五 十 二 条 ”在 管理 层 评价 日 之 前 ， 管 理 层 可 能 为 提高 控制 效率 、 效 
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果 或 弥补 控制 缺陷 而 改变 企业 的 控制 。 

如 果 新 控制 实现 了 相关 控制 目标 ， 运 行 足够 长 的 时 间 ， 且 注册 会 计 师 
能 够 测试 并 评价 该 项 控制 设计 和 运行 的 有 效 性 , 则 无 须 测试 被 取代 的 控制 。 

如 果 被 取代 控制 设计 和 运行 的 有 效 性 对 控制 风险 的 评估 有 重大 影响 ， 
注册 会 计 师 应 当 测 试 该 项 控制 的 有 效 性 。 

第 五 十 三 条 ”针对 某 项 控制 ,测试 的 范围 越 大 ， 获 取 的 证 据 越 多 。 

第 五 十 四 条 ”注册 会 计 师 执 行内 部 控制 审计 业务 通常 旨 在 对 特定 日 期 
(通常 为 年 末 ) 内 部 控制 的 有 效 性 发 表意 见 。 如 果 已 获取 有 关 控 制 在 期 中 运 
行 有 效 性 的 证 据 ， 注 册 会 计 师 应 当 确 定 还 需要 获取 哪些 补充 证 据 ， 以 证 实 
在 剩余 期 间 控 制 的 运行 情况 。 

第 五 十 五 条 在 将 期 中 测试 的 结果 更 新 至 年 末 时 ， 注 册 会 计 师 应 当 考 
虑 下 列 因素 ， 以 确定 需 获 取 的 补充 证 据 : 

(一 ) 期 中 测试 的 特定 控制 的 有 关 情 况 , 包括 与 控制 相关 的 风险 、 控 制 
的 性 质 和 测试 的 结果 ，; 

(二 ) 期 中 获取 的 有 关 证 据 的 充分 性 、 适 当 性 ; 

(三 ) 剩余 期 间 的 长 短 ; 

(四 ) 期 中 测试 之 后 ， 内 部 控制 发 生 重大 变化 的 可 能 性 。 

第 九 节 ”连续 审计 时 的 特殊 考虑 

第 五 十 六 条 ”在 连续 审计 中 ， 注册 会 计 师 在 确定 测试 的 性 质 、 时 间 和 
范围 时 ， 应 当 考 虑 以 前 年 度 执行 内 部 控制 审计 时 了 解 的 情况 。 

第 五 十 七 条 ” 除 本 指引 第 四 十 六 条 所 列 因素 之 外 ， 下 列 因 素 也 会 影响 
连续 审计 中 与 某 项 控制 相关 的 风险 : 

(一 ) 以 前 年 度 审 计 中 所 实施 程序 的 性 质 、 时 间 和 范围 ; 

(二 ) 以 前 年 度 对 控制 的 测试 结果 ; 
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(三 ) 上 次 审计 之 后 ， 控 制 或 其 运行 流程 是 否 发 生变 化 。 

第 五 十 八条 ”在 考虑 本 指引 第 四 十 六 条 和 第 五 十 七 条 所 列 的 风险 因 
素 ， 以 及 连续 审计 中 可 获取 的 进一步 信息 之 后 ， 只 有 当 认 为 与 控制 相关 的 
风险 水 平 比 以 前 年 度 有 所 下 降 时 ， 注 册 会 计 师 在 本 年 度 审计 中 才 可 以 减少 
测试 。 

第 五 十 九条 ”在 连续 审计 中 ， 由 于 完全 自动 化 的 应 用 控制 通常 不 会 因 
人 为 失误 而 失效 ， 因 此 ， 注 册 会 计 师 可 以 考虑 对 自动 化 应 用 控制 实施 对 标 
策略 。 

第 六 十 条 ”如 果 认 为 程序 变更 、 访 问 权 限 及 计算 机 操作 方面 的 一 般 控 
制 有 效 ， 且 可 持续 对 其 进行 测试 ， 并 能 证 实 自动 化 应 用 控制 自 最 近 一 次 测 . 
试 之 后 未 发 生变 化 ， 注 册 会 计 师 不 必 重 复 执 行 测试 ， 就 可 以 认为 自动 化 应 
用 控制 是 持续 有 效 的 。 

注册 会 计 师 为 证 实 控 制 未 发 生变 化 而 需 获取 证 据 的 性 质 和 范围 ， 可 能 
随 情况 的 变化 而 变化 。 例 如 ， 企 业 程序 变更 控制 的 强 弱 将 影响 需 获 取证 据 
的 性 质 和 范围 。 


第 五 章 ”评价 识别 的 控制 缺陷 
第 一 节 ”评价 控制 缺陷 的 严重 程度 
第 六 十 一 条 ”如 果 控 制 的 设计 或 运行 不 能 使 管理 层 或 员工 在 正常 履行 
职责 的 过 程 中 及 时 防止 或 发 现 错 报 ， 则 表明 内 部 控制 存在 缺陷 。 
内 部 控制 存在 的 缺陷 包括 设计 缺陷 和 运行 缺陷 。 
设计 缺陷 是 指 缺 少 为 实现 控制 目标 所 必需 的 控制 ， 或 者 现 有 控制 设计 
不 适当 ， 即 使 正常 运行 也 难以 实现 控制 目标 。 
运行 缺陷 是 指 设计 适当 的 控制 没有 按 设计 意图 运行 ， 或 者 执行 人 员 缺 
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乏 必 要 授权 或 专业 胜任 能 力 ， 无 法 有 效 实施 控制 。 

第 六 十 二 条 “内 部 控制 存在 的 缺陷 ， 按 严重 程度 分 为 重大 缺陷 、 重 要 
缺陷 和 一 般 缺陷 。 

重大 缺陷 是 内 部 控制 中 存在 的 、 可 能 导致 财务 报表 重大 刍 报 的 一 项 控 
制 缺陷 或 多 项 控制 缺 险 的 组 合 。 

重要 缺陷 是 内 部 控制 中 存在 的 、 其 严重 程度 不 如 重大 缺陷 ， 但 足以 引 
起 企业 财务 报告 监督 人 员 关注 的 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 。 

一 般 缺 陷 是 内 部 控制 中 存在 的 、 除 重大 缺陷 和 重要 缺陷 之 外 的 控制 
缺陷 。 

第 六 十 三 条 注册 会 计 师 应 当 评价 其 注意 到 的 各 项 控制 缺陷 的 严重 各 
度 ， 以 确定 这 些 缺 陷 单独 或 组 合 起 来 是否 构成 重大 缺陷 。 但 是 ， 在 计划 
和 实施 审计 工作 时 ， 不 要 求 注册 会 计 师 寻 找 单独 或 组 合 起 来 不 构成 重大 缺 
陷 的 控制 缺陷 。 

第 六 十 四 条 “控制 缺陷 的 严重 程度 取决 于 ; 

(一 ) 控制 缺陷 导致 上 户 侠 额 或 列 报销 报 的 可 能 性 ; 

(二 ) 因 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 导致 潜在 错 报 的 金额 
大 小 。 

第 六 十 五 条 控制 缺陷 的 严重 程度 与 账户 余额 或 列 报 是 否 发 生 错 报 无 
关 ， 而 取决 于 控制 缺 队 是 否 可 能 导致 错 报 。 

第 六 十 六 条 在 评价 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 是 否 可 能 导 
到 账户 余额 或 列 报错 报时 ， 注 册 会 计 师 应 当 考 虑 的 风险 因素 包括 : 

(一 ) 所 涉及 的 账户 、 列 报 及 其 相关 认定 的 性 质 ; 

( 二 ) 相关 资产 或 负债 易于 发 生 损 失 或 舞 蚂 的 程度 

三) 和 I 相 类 人 时 所 和 关上 的 主 天 程度 、 复 和 有 玉 邦 轩 ;， 
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(四 ) 所 涉及 的 控制 与 其 他 控制 的 相互 作用 或 关系 ; 

(五 ) 控制 缺陷 之 间 的 相互 作用 ; 

(六 ) 控制 缺陷 在 未 来 可 能 产生 的 影响 。 

第 六 十 七 条 在 评价 因 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 导致 潜 在 
错 报 的 金额 大 小 时 ， 注 册 会 计 师 应 当 考虑 的 因素 包括 ; 

(一 ) 受 控制 缺陷 影响 的 财务 报表 金额 或 交易 总 额 ; 

(二 ) 在 本 期 或 预计 的 未 来 期 间 受 控制 缺陷 影响 的 账户 余额 或 各 类 交 
易 涉 及 的 交易 量 。 

第 六 十 八条 “在 确定 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 是 否 构成 重 
大 缺陷 时 ， 注 册 会 计 师 应 当 评价 补偿 性 控制 的 影响 。 为 减弱 控制 缺陷 的 不 
利 影 响 ， 企 业 执行 的 补偿 性 控制 应 当 有 足够 的 精确 度 ， 以 防止 或 发 现 可 能 
发 生 的 重大 错 报 。 

第 二 节 ”表明 可 能 存在 重大 缺陷 的 迹象 

第 六 十 九条 ”下列 迹象 可 能 表明 内 部 控制 存在 重大 缺陷 : 

(一 ) 注册 会 计 师 发 现 高 级 管理 人 员 舞 弊 ; 

(二 ) 企业 重 述 以 前 公布 的 财务 报表 ， 以 更 正 重大 错 报 ; 

(三 ) 注册 会 计 师 发 现 当期 财务 报表 存在 重大 错 报 ， 而 控制 未 能 发 现 ; 

( 四 ) 审计 委员 会 对 财务 报告 及 内 部 控制 的 监督 无 效 。 

第 七 十 条 “如果 注册 会 计 师 确定 ， 发 现 的 一 项 控制 缺陷 或 多 项 控制 缺 
陷 的 组 合 ， 将 导致 审慎 的 管理 人 员 在 执行 工作 时 认为 自身 无 法 合理 保证 按 
照 企 业 会 计 准 则 的 规定 记录 交易 ， 应 当 将 这 种 情况 视 为 内 部 控制 存在 重大 
缺陷 的 迹象 。 
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第 六 章 ”完成 审计 工作 
第 一 节 ”形成 审计 意见 

第 七 十 一 条 ”注册 会 计 师 应 当 评价 从 各 种 来 源 获 取 的 证 据 ， 包 括 对 控 
制 的 测试 结果 、 财 务 报表 审计 中 发 现 的 错 报 以 及 已 识别 的 所 有 控制 缺陷 ， 
以 形成 对 内 部 控制 有 效 性 的 意见 。 

第 七 十 二 条 ”在 对 内 部 控制 的 有 效 性 形成 意见 后 ， 注 册 会 计 师 应 当 评 
价 ， 管理 层 内 部 控制 评价 报告 中 对 与 财务 报告 及 相关 信息 的 真实 完整 、 资 
产 安全 相关 的 内 部 控制 的 表达 是 否 符合 有 关 法 律 法 规 的 要 求 。 

如 果 认 为 上 述 表达 不 完整 或 不 恰当 ， 注 册 会 计 师 应 当 按 照 本 指引 第 九 
十 八条 的 要 求 进 行 处 理 。 

第 七 十 三 条 ”只 有 在 审计 范围 没有 受到 限制 时 ， 注 册 会 计 师 才 能 对 内 
部 控制 的 有 效 性 形成 意见 。 如 果 存 在 范围 限制 ， 注 册 会 计 师 应 当 按照 本 指 
引 第 九 十 九条 至 第 一 百 零 二 条 的 要 求 进行 处 理 。 

第 二 节 ”获取 管理 层 书面 声明 

第 七 十 四 条 ”注册 会 计 师 应 当 向 管理 层 获取 书面 声明 。 管 理 层 声明 的 
内 容 应 当 包 括 : 

(一 ) 管理 层 认可 其 对 设计 、 实 施 和 维护 有 效 的 内 部 控制 负责 ; 

(二 ) 管理 层 已 对 内 部 控制 的 有 效 性 做 出 评价 ， 并 说 明 评价 时 采用 的 
标准 ; 

(三 ) 管 理 层 没 有 利用 注册 会 计 师 在 内 部 控制 审计 和 财务 报表 审计 中 执 
行 的 程序 及 其 结果 ， 作 为 管理 层 自我 评价 的 基础 ; 

(四 ) 管理 层 根据 控制 标准 评价 内 部 控制 有 效 性 得 出 的 结论 ; 

(五 ) 管理 层 已 向 注册 会 计 师 披露 识别 出 的 、 内 部 控制 在 设计 或 运行 方 
面 存在 的 所 有 缺陷 , 并 已 专门 向 注册 会 计 师 披 露 所 有 重要 缺陷 或 重大 缺陷 ; 
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(六 ) 导致 财务 报表 重大 错 报 的 所 有 舞弊 ， 以 及 不 会 导致 财务 报表 重大 
错 报 , 但 涉及 管理 层 和 其 他 在 内 部 控制 中 具有 重要 作用 的 员工 的 所 有 舞弊 ; 

(七 ) 注册 会 计 师 在 以 前 年 度 审计 中 识别 的 、 已 与 审计 委员 会 沟通 的 控 
制 缺 陷 是 否 已 经 得 到 解决 ， 以 及 哪些 缺陷 尚未 得 到 解决 ; 

( 八 ) 在 审计 报告 日 后 ,内 部 控制 是 否 发 生变 化 , 或 者 是 否 存在 对 内 部 
控制 产生 重要 影响 的 其 他 因素 ， 如 管理 层 针 对 重要 缺陷 和 重大 缺陷 采取 的 
所 有 纠正 措施 。 

第 七 十 五 条 ”如果 管 理 层 拒绝 提供 书面 声明 ， 或 因 其 他 原因 未 能 获取 
书面 声明 ， 注 册 会 计 师 应 当 将 其 视 为 审计 范围 受到 限制 ， 解 除 业 务 约 定 或 
出 具 无 法 表示 意见 的 审计 报告 。 

注册 会 计 师 应 当 评 价 ， 管 理 层 拒绝 提供 书面 声明 对 其 他 声明 ( 包括 在 
财务 报表 审计 中 获取 的 声明 ) 的 可 靠 性 产生 的 影响 。 

第 七 十 六 条 ”注册 会 计 师 应 当 按 照 《中国 注 册 会 计 师 审计 准则 第 1341 
号 一 管理 层 声明 》 的 规定 ， 确 定 声明 书 的 签署 者 、 声 明 书 涵盖 的 期 间 以 
及 何 时 获取 更 新 的 声明 书 等 。 

第 三 节 ”沟通 相关 事项 

第 七 十 七 条 ”注册 会 计 师 应 当 以 书面 形式 与 管理 层 和 审计 委员 会 沟通 
审计 过 程 中 识别 的 所 有 重大 缺陷 。 书 面 沟通 应 当 在 注册 会 计 师 出 具 内 部 控 
制 审计 报告 之 前 进行 。 

第 七 十 八条 ”如 果 认 为 审计 委员 会 对 财务 报告 及 其 内 部 控制 的 监督 无 
效 ， 注 册 会 计 师 应 当 就 此 以 书面 形式 与 董事 会 沟通 。 

第 七 十 九条 ”注册 会 计 师 应 当 考 虑 其 识别 的 一 项 控制 缺陷 或 多 项 控制 
缺陷 的 组 合 是 否 构成 重要 缺陷 。 如 果 构 成 重要 缺陷 ， 则 应 当 就 此 以 书面 形 
式 与 审计 委员 会 沟通 。 
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第 八 十 条 ”注册 会 计 师 应 当 以 书面 形式 与 管理 层 沟 通 其 在 审计 过 程 中 
识别 的 内 部 控制 存在 的 所 有 缺陷 ， 并 在 沟通 完成 后 告知 审计 委员 会 。 在 进 
行 沟通 时 ， 注 册 会 计 师 无 须 重复 自身 、 内 部 审计 人 员 或 企业 其 他 人 员 以 前 
书面 沟通 过 的 控制 缺陷 。 

第 八 十 一 条 ”本 指引 不 要 求 注册 会 计 师 执行 足以 识别 所 有 控制 缺陷 的 
程序 ， 但 是 ， 注 册 会 计 师 应 当 沟 通 其 注意 到 的 内 部 控制 的 所 有 缺陷 。 

第 八 十 二 条 “如果 发 现 企业 存在 或 可 能 存在 舞弊 或 违反 法 规 行 为 ， 注 
册 会 计 师 应 当 按 照 《 中 国 注册 会 计 师 审计 准则 第 1141 号 一 一 财务 报表 审计 
中 对 舞弊 的 考虑 》《 中 国 注册 会 计 师 审 计 准 则 第 1142 号 一 一 财务 报表 审计 
中 对 法 律 法 规 的 考虑 》 的 规定 ， 确 定 并 履行 自身 的 责任 。 


第 七 章 ”审计 报告 
第 一 节 ”总 体 要 求 
第 八 十 三 条 ”注册 会 计 师 应 当 评价 根据 审计 证 据 得 出 的 结论 ， 以 作为 
对 内 部 控制 的 有 效 性 形成 审计 意见 的 基础 。 
第 八 十 四 条 ”注册 会 计 师 在 完成 内 部 控制 审计 和 财务 报表 审计 后 ， 应 
当 分 别 对 内 部 控制 和 财务 报表 出 具 审计 报告 。 
第 二 节 ”标准 审计 报告 
第 八 十 五 条 ”审计 报告 应 当 包 括 下 列 要 素 : 
(一 ) 标题 ; 
(二 ) 收 件 人 ; 
(三 ) 引言 段 ; 
(四 ) 管理 层 对 内 部 控制 的 责任 段 ; 
(五 ) 注册 会 计 师 的 责任 段 ; 
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(六 ) 内 部 控制 审计 的 范围 段 ; 

(七 ) 内 部 控制 固有 局 限 性 的 说 明 段 ; 

( 八 ) 内 部 控制 审计 意见 段 ; 

( 九 ) 财务 报表 审计 意见 类 型 的 提 及 段 ; 

(十 ) 注册 会 计 师 的 签名 和 盖 章 ; 

(十 一 ) 会 计 师 事务 所 的 名 称 、 地 址 及 盖 章 ; 

(十 二 ) 报告 日 期 。 

第 八 十 六 条 ”在 内 部 控制 审计 报告 中 ， 财 务 报表 审计 意见 类 型 的 提 及 
段 应 当 说 明 ， 注 册 会 计 师 还 按照 中 国 注册 会 计 师 审计 准则 的 规定 ， 审 计 了 
企业 的 财务 报表 [指出 财务 报表 ], 并 于 x x 年 x 月 x 日 出 具 的 审计 报告 中 发 
表 了 Xx 意见 [指出 意见 的 类 型 ]。 如 果 出 具 了 无 法 表示 意见 的 财务 报表 审计 
报告 ， 应 当 对 该 提 及 段 的 表述 做 必要 修改 。 

此 外 , 注册 会 计 师 应 当 在 财务 报表 审计 报告 意见 段 后, 增加 下 列 段落 : 
“我 们 还 按照 《企业 内 部 控制 审计 指引 》 及 相关 执业 准则 的 要 求 , 审计 了 截 
至 Xx Xx 年 x 月 x 日 企业 的 内 部 控制 ， 并 在 我 们 出 具 的 x x 年 x 月 xX 日 (该 日 
期 应 当 与 财务 报表 的 审计 报告 日 期 一 致 ) 的 审计 报告 中 , 发 表 了 [指出 意见 
的 类 型 ]。” 如 果 出 具 了 无 法 表示 意见 的 内 部 控制 审计 报告 ， 应 当 对 该 段落 
的 表述 做 必要 修改 。 

第 八 十 七 条 ”如 果 符 合 下 列 所 有 条 件 ， 注 册 会 计 师 应 当 对 内 部 控制 出 
具 无 保留 意见 的 审计 报告 : 

(一 ) 截至 特定 日 期 , 企业 按照 内 控 规 范 和 相关 规定 的 要 求 , 在 所 有 重 
大 方面 保持 了 有 效 的 内 部 控制 ; 

(二 ) 注册 会 计 师 已 经 按照 《企业 内 部 控制 审计 指引 》 的 要 求 计划 和 实 
施 审 计 工 作 ， 在 审计 过 程 中 未 受到 限制 。 
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第 八 十 八条 ”由 于 内 部 控制 审计 和 财务 报表 审计 是 整合 进行 的 ， 注 册 

会 计 师 对 内 部 控制 审计 报告 和 财务 报表 审计 报告 应 当 签署 相同 的 日 期 。 
第 三 节 ”重大 缺陷 与 非 标 准 审计 报告 

第 八 十 九条 ”如 果 认 为 内 部 控制 存在 一 项 或 多 项 重大 缺陷 ， 除 非 审计 
范围 受到 限制 ， 否则， 注册 会 计 师 应 当 对 内 部 控制 发 表 否 定 意见 。 

第 九 十 条 ”注册 会 计 师 出 具 的 否定 意见 审计 报告 还 应 包括 下 列 内 容 : 

(一 ) 本 指引 对 重大 缺陷 的 定义 ; 

(二 ) 注册 会 计 师 已 识别 出 的 重大 缺陷 ( 包括 在 管理 层 内 部 控制 评价 报 
告 中 描述 的 、 由 管理 层 识 别 的 内 部 控制 重大 缺陷 )， 重 大 缺陷 的 性 质 以 及 
重大 缺陷 在 存在 期 间 对 企业 编制 的 财务 报表 产生 的 实际 和 潜在 影响 等 具 
体 情况 。 

如 果 重 大 缺陷 尚未 包含 在 管理 层 内 部 控制 评价 报告 中 ， 注 册 会 计 师 应 
当 在 审计 报告 中 说 明 重 大 缺陷 已 经 识别 ， 但 没有 包含 在 管理 层 内 部 控制 评 
价 报告 中 。 

如 果 管 理 层 内 部 控制 评价 报告 中 包含 了 重大 缺陷 ， 但 注册 会 计 师 认为 
这 些 重大 缺陷 未 能 在 所 有 重大 方面 得 到 公允 反映 ， 注 册 会 计 师 应 当 在 审计 
报告 中 予以 说 明 ， 并 公允 表达 有 关 重 大 缺陷 的 必要 信息 。 

第 九 十 一 条 ”如 果 对 内 部 控制 发 表 否 定 意见 ， 注 册 会 计 师 应 当 确 定 该 
意见 对 财务 报表 审计 意见 的 影响 ， 并 在 内 部 控制 审计 报告 中 予以 说 明 。 

第 四 节 ”期 后 事项 与 非 标 准 审计 报告 

第 九 十 二 条 ”在 内 部 控制 审计 报告 引言 段 中 指出 的 特定 日 期 之 后 、 审 
计 报 告 日 之 前 (以 下 简称 期 后 期 间 )， 内 部 控制 可 能 发 生变 化 , 或 出 现 其 他 
可 能 对 内 部 控制 产生 重要 影响 的 因素 。 注 册 会 计 师 应 当 向 管理 层 询问 是 否 
存在 这 类 变化 或 影响 因素 ， 并 按 本 指引 的 要 求 获取 管理 层 关于 这 些 情况 的 
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书面 声明 。 

第 九 十 三 条 “注册 会 计 师 应 当 针对 期 后 期 间 ， 询 问 并 检查 下 列 信息 : 

(一 ) 在 期 后 期 间 出 具 的 内 部 审计 报告 或 类 似 报告; 

(二 ) 其 他 注册 会 计 师 出 具 的 涉及 企业 内 部 控制 缺陷 的 报告 ; 

(三 ) 监管 机 构 发 布 的 涉及 企业 内 部 控制 的 报告 ; 

(四 ) 注册 会 计 师 在 执行 其 他 业务 中 获取 的 、 有 关 企 业内 部 控制 有 效 性 
的 信息 。 

注册 会 计 师 还 应 当 考虑 获取 期 后 期 间 的 其 他 文件 ， 并 按照 《中 国 注册 
会 计 师 审计 准则 第 1332 号 一 期 后 事项 》 的 规定 ， 对 其 进行 检查 。 

第 九 十 四 条 ”如 果 知悉 对 管理 层 评价 日 内 部 控制 有 效 性 有 重大 负面 影 
响 的 期 后 事项 ， 注 册 会 计 师 应 当 对 内 部 控制 发 表 否 定 意见 。 

如 果 不 能 确定 期 后 事项 对 内 部 控制 有 效 性 的 影响 ， 注 册 会 计 师 应 当 出 
具 无 法 表示 意见 的 审计 报告。 

如 果 管理 层 在 内 部 控制 评价 报告 中 披露 了 管理 层 评价 日 后 企业 可 能 采 
取 的 纠正 措施 ， 注 册 会 计 师 应 当 在 审计 报告 中 指明 不 对 其 发 表意 见 。 

第 九 十 五 条 “注册 会 计 师 可 能 知悉 在 管理 层 评价 日 并 不 存在 ， 但 在 其 
后 期 间 发 生 的 事项 。 如 果 这 类 期 后 事项 对 内 部 控制 有 重大 影响 ， 注 册 会 计 
师 应 当 在 审计 报告 中 增加 强调 事项 段 ， 以 描述 该 事项 及 其 影响 ， 或 提醒 审 
计 报告 使 用 者 关注 管理 层 内 部 控制 评价 报告 中 披露 的 该 事项 及 其 影响 。 

第 九 十 六 条 ”在 出 具 内 部 控制 审计 报告 之 后 ， 如 果 知悉 在 审计 报告 
已 存在 的 、 可 能 对 审计 意见 产生 影响 的 情况 ， 注 册 会 计 师 应 当 按照 《中 国 
注册 会 计 师 审计 准则 第 1332 号 一 期 后 事项 》 的 规定 办 理 。 

第 五 节 ”其 他 情况 与 非 标 准 审计 报告 
第 九 十 七 条 ”如 果 存在 下 列 情况 之 一 ， 注 册 会 计 师 应 当 出 具 非 标准 审 
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计 报 告 : 

(一 ) 管理 层 内 部 控制 评价 报告 的 表达 不 完整 或 不 恰当 ; 

(二 ) 审计 范围 受到 限制 ; 

(三 ) 管理 层 内 部 控制 评价 报告 中 包含 其 他 信息 。 

第 九 十 八条 “如 果 认 为 管理 层 内 部 控制 评价 报告 的 表达 不 完整 或 不 恰 
当 ， 注 册 会 计 师 应 当 在 审计 报告 中 增加 强调 事项 段 ， 说 明 这 一 情况 并 解释 
得 出 该 结论 的 理由 。 如 果 认 为 有 关内 部 控制 重大 缺陷 未 能 在 所 有 重大 方面 
得 到 公允 反映 ， 注 册 会 计 师 应 当 按照 本 指引 第 九 十 条 的 要 求 进 行 处 理 。 

第 九 十 九条 ”注册 会 计 师 只 有 实施 了 必要 的 审计 程序 ， 才 能 对 内 部 控 
制 的 有 效 性 发 表意 见 。 如 果 审 计 范围 受到 限制 ， 注 册 会 计 师 应 当 解 除 业务 
约定 或 出 具 无 法 表示 意见 的 审计 报告 。 

在 出 具 无 法 表示 意见 的 审计 报告 时 ， 注 册 会 计 师 应 当 指明 无 法 对 内 部 
控制 的 有 效 性 发 表意 见 。 

第 一 百 条 ”在 出 具 无 法 表示 意见 的 审计 报告 时 ， 注 册 会 计 师 应 当 在 审 
计 报 告 中 说 明 审计 范围 不 足以 支持 发 表意 见 ， 并 单 设 段落 说 明 无 法 表示 意 
见 的 实质 性 理由 。 注 册 会 计 师 不 应 在 审计 报告 中 指明 所 执行 的 程序 ， 也 不 
应 描述 内 部 控制 审计 的 特征 ， 以 避免 对 无 法 表示 意见 的 误解 。 

第 一 百 零 一 条 ” 当 拟 出 具 无 法 表示 意见 的 审计 报告 时 ， 如 果 已 执行 的 
有 限 程序 发 现 内 部 控制 存在 重大 缺陷 ， 注 册 会 计 师 应 当 按 照 本 指引 第 九 十 
条 的 要 求 ， 对 重大 缺陷 做 出 适当 说 明 。 

第 一 百 零 二 条 “如果 拟 出 具 无 法 表示 意见 的 审计 报告 ， 注 册 会 计 师 应 
当 就 未 能 完成 整个 内 部 控制 审计 工作 的 情况 ， 以 书面 形式 与 管理 层 和 审计 
委员 会 进行 沟通 。 

第 一 百 零 三 条 ” 除 涉及 与 财务 报告 及 相关 信息 的 真实 完整 、 资 产 安全 
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相关 的 内 部 控制 信息 外 ， 如 果 管 理 层 内 部 控制 评价 报告 还 包括 其 他 信息 ， 
注册 会 计 师 应 当 在 审计 报告 中 指明 不 对 其 他 信息 发 表意 见 。 

第 一 百 零 四 条 ”如 果 认 为 其 他 信息 含有 对 事实 的 重大 错 报 ， 注 册 会 计 
师 应 当 就 此 与 管理 层 进行 讨论 。 

如 果 讨 论 后 仍 认 为 存在 对 事实 的 重大 错 报 ， 注 册 会 计 师 应 当 以 书面 形 
式 ， 将 其 看 法 告知 管理 层 和 审计 委员 会 。 | 

如 果 其 他 信息 未 包含 在 管理 层 内 部 控制 评价 报告 中 ， 而 是 包含 在 年 度 
财务 报告 中 ， 注 册 会 计 师 无 须 在 审计 报告 中 指明 不 对 其 发 表意 见 。 


第 八 章 ”审计 工作 记录 


第 一 百 零 五 条 ”注册 会 计 师 应 当 按 照 《 中 国 注册 会 计 师 审 计 准 则 第 
1131 号 一 一 审计 工作 底稿 》 的 规定 ， 编 制 内 部 控制 审计 工作 底稿 。 

第 一 百 零 六 条 ”注册 会 计 师 应 当 就 下 列 内 容 形成 审计 工作 记录 : 

(一 ) 制定 的 内 部 控制 审计 计划 及 重大 修改 情况 ; 

《二 ) 相关 风险 评估 和 选择 拟 测试 控制 的 主要 过 程 及 结果 ; 

(三 ) 测试 控制 设计 和 运行 有 效 性 的 程序 及 结果 ; 

《四 ) 对 识别 的 控制 缺陷 的 评价 ; 

(五 ) 形成 的 审计 结论 和 意见 ; 

(六 ) 其 他 重要 事项 。 


第 九 章 ”附则 
第 一 百 零 七 条 本 指引 自 2009 年 7 月 1 日 起 施行 。 


附录 C 
内 部 控制 审计 报告 的 参考 格式 


1， 标准 审计 报告 
内 部 控制 审计 报告 

x x 股份 有 限 公司 全 体 股东 ; 

我 们 审计 了 截至 x x 年 x 月 x 日 xx 股 份 有 限 公司 (以 下 简称 XX 公 
司 ) 的 内 部 控制 。 

一 、 管 理 层 对 内 部 控制 的 责任 

在 企业 治理 层 的 监督 下 , 按照 《企业 内 部 控制 基本 规范 》 和 相关 规定 ， 
设计 、 实 施 和 维护 有 效 的 内 部 控制 , 并 评价 其 有 效 性 是 企业 管理 层 的 责任 。 

二 、 注 册 会 计 师 的 责任 

我 们 的 责任 是 在 实施 审计 工作 的 基础 上 对 内 部 控制 的 有 效 性 发 表 审计 
意见 。 我 们 按照 《企业 内 部 控制 审计 指引 》 及 相关 执业 准则 的 要 求 执行 了 
审计 工作 。 上 述 有 关 规 定 要 求 我 们 遵守 职业 道德 守则 ， 计 划 和 实施 审计 工 
作 ， 以 对 企业 在 所 有 重大 方面 是 否 保持 了 有 效 的 内 部 控制 获取 合理 保证 。 

审计 工作 包括 获取 对 内 部 控制 的 了 解 ， 评 估 重 大 缺陷 存在 的 风险 ， 并 
根据 风险 评估 的 结果 ， 测 试 和 评价 内 部 控制 设计 和 运行 的 有 效 性 。 审 计 工 
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作 还 包括 实施 我 们 认为 必要 的 其 他 程序 。 

我 们 相信 ， 我 们 获取 的 审计 证 据 是 充分 、 适 当 的 ， 为 发 表 审 计 意见 提 
供 了 基础 。 

三 、 内 部 控制 审计 的 范围 

本 报告 中 内 部 控制 审计 的 范围 ， 主 要 是 企业 为 了 合理 保证 财务 报告 及 
相关 信息 真实 完整 、 资 产 安全 而 设计 和 执行 的 内 部 控制 。 用 以 合理 保证 资 
产 安全 的 内 部 控制 ， 可 能 涉及 合理 保证 经 营 效率 和 效果 、 经 营 管理 合法 合 
规 的 内 部 控制 。 

四 、 内 部 控制 的 固有 局 限 性 

内 部 控制 具有 固有 局 限 性 , 存在 不 能 防止 和 发 现 错 报 的 可 能 性 。 此 外 ， 
由 于 情况 的 变化 可 能 导致 内 部 控制 变 得 不 恰当 ， 或 对 控制 政策 和 程序 遵循 
的 程度 降低 ， 根 据 内 部 控制 审计 结果 推测 未 来 内 部 控制 的 有 效 性 具有 一 定 
风险 。 

五 、 内 部 控制 审计 意见 

我 们 认为 , 截至 xX x 年 x 月 xX 日 ，x x 公司 按照 内 控 规 范 和 相关 规定 在 
所 有 重大 方面 保持 了 有 效 的 内 部 控制 。 

六 、 提 及 财务 报表 审计 意见 的 类 型 

我 们 还 按照 中 国 注册 会 计 师 审计 准则 的 规定 ， 审 计 了 Xx x 公司 的 财务 
报表 [指出 财务 报表 ]， 并 在 x x 年 x 月 x 日 出 具 的 审计 报告 中 发 表 了 Xx x 意 
见 [指出 意见 的 类 型 ]。 


X X 会 计 师 事务 所 中 国 注 册 会 计 师 : XXX (签名 并 盖 章 ) 
( 盖 章 ) 中 国 注 册 会 计 师 : XXX (签名 并 盖 章 ) 
中 国 XX 市 xx 年 X 月 X 日 


-一 一 一 一 个 合 @@ 内 部 控制 审计 报告 的 参考 格式 


2. 带 强调 事项 段 的 无 保留 意见 审计 报告 


内 部 控制 审计 报告 

x Xx 股份 有 限 公 司 全 体 股东 : 

我 们 审计 了 截至 x x 年 x 月 x 日 Xx 股份 有 限 公司 ( 以 下 简称 Xx 公 
司 ) 的 内 部 控制 。 

(“一 、 管 理 层 对 内 部 控制 的 责任 ”至 “六 、 提 及 财务 报表 审计 意见 的 
类 型 ”参见 标准 审计 报告 相关 段落 表述 。) 

七 、 强 调 事项 

我 们 提醒 审计 报告 使 用 者 关注 ，[ 如 管理 层 内 部 控制 评价 报告 中 第 x 部 
分 第 x 有 段 所 述 ，x x 公司 发 生 了 一 项 期 后 事项 。( 描述 期 后 事项 的 性 质 及 其 
对 内 部 控制 的 重大 影响 ) ]。 本 段 内 容 不 影响 已 发 表 的 审计 意见 。 


XX 会 计 师 事务 所 中 国 注 册 会 计 师 : XXX (签名 并 盖 章 ) 
( 盖 章 ) 中 国 注册 会 计 师 : XXX (签名 并 盖 章 ) 
中 国 XX 市 xx 年 X 月 XxX 日 


3， 否 定 意 见 审计 报告 
内 部 控制 审计 报告 

xX 股 份 有 限 公司 全 体 股 东 : 

我 们 审计 了 截至 xx 年 x 月 x 日 xx 股份 有 限 公 司 〈 以 下 简称 xX 公 
司 ) 的 内 部 控制 。 

(“一 、 管 理 层 对 内 部 控制 的 责任 ”至 “四 、 内 部 控制 的 固有 局 限 性 ” 
参见 标准 审计 报告 相关 段落 表述 。) 

五 、 导 致 否定 意见 的 事项 

重大 缺陷 是 内 部 控制 中 存在 的 、 可 能 导致 不 能 及 时 防止 或 发 现 企 业 财 
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务 报表 重大 错 报 的 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 。 

[指出 注册 会 计 师 已 识别 出 的 重大 缺陷 (包括 在 管理 层 内 部 控制 评价 报 
告 中 描述 的 由 管理 层 识别 的 内 部 控制 重大 缺陷 ), 并 说 明 重 大 缺陷 的 性 质 以 
及 重大 缺陷 在 存在 期 间 对 企业 编制 的 财务 报表 产生 的 实际 和 潜在 影响 等 具 
体 情况 。] 

其 中 ，x x 重大 缺陷 没有 包含 在 管理 层 内 部 控制 评价 报告 中 ( 如 存在 
这 种 情况 的 话 ， 应 增加 本 句 )。x x 重大 缺陷 虽然 已 包含 在 管理 层 内 部 控制 
评价 报告 中 , 但 未 能 在 所 有 重大 方面 得 到 公允 反映 ，[ 公 人 允 表 达 有 关 重 大 缺 
陷 的 必要 信息 ] (如 存在 这 种 情况 的 话 ， 应 增加 本 句 )。 

有 效 的 内 部 控制 能 够 为 财务 报告 及 相关 信息 真实 完整 、 资 产 安全 提供 
合理 保证 ， 而 上 述 重 大 缺陷 使 x x 公司 内 部 控制 失去 这 一 功能 。 

( 如 果 上 述 重 大 缺陷 对 财务 报表 审计 意见 有 影响 ， 说 明 该 影响 。) 

六 、 内 部 控制 审计 意见 

我 们 认为 ， 由 于 存在 上 述 重大 缺陷 及 其 对 实现 控制 目标 的 影响 ， 截 至 
Xxx 年 x 月 x 日 ,x x 公司 未 能 按照 内 控 规范 和 相关 规定 在 所 有 重大 方面 保 
持 有 效 的 内 部 控制 。 

七 、 提 及 财务 报表 审计 意见 的 类 型 

( 参见 标准 审计 报告 相关 段落 表述 。) 


X x 会 计 师 事务 所 中 国 注册 会 计 师 : XXX (签名 并 盖 章 ) 
( 盖 章 ) 中 国 注册 会 计 师 : XX X (签名 并 盖 章 ) 
中 国 XxXx 市 XxxX 年 X 月 X 日 
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4. 无 法 表示 意见 审计 报告 
内 部 控制 审计 报告 

x x 股份 有 限 公 司 全 体 股东 : 

我 们 接受 委托 ， 对 截至 Xx x 年 x 月 x 日 xx 股 份 有 限 公 司 ( 以 下 简称 
x x 公司 ) 的 内 部 控制 进行 审计 。 

(删除 “注册 会 计 师 的 责任 ” 段 ,“ 一 、 管理 层 对 内 部 控制 的 责任 ”、“ 二 、 
内 部 控制 审计 的 范围 ”和 “三 、 内 部 控制 的 固有 局 限 性 ”参见 标准 审计 报 
告 相关 段落 表述 。) 

四 、 导 致 无 法 表示 意见 的 事项 

( 描述 审计 范围 受到 限制 的 具体 情况 。) 

五 、 内 部 控制 审计 意见 

由 于 审计 范围 受到 上 述 限 制 ， 我 们 未 能 实施 必要 的 审计 程序 以 获取 发 
表意 见 所 需 的 充分 、 适 当 证 据 ， 因 此 ,我 们 无 法 对 截至 x x 年 x 月 x 日 x x 
公司 内 部 控制 的 有 效 性 发 表意 见 。 

六 、 识 别 的 内 部 控制 重大 缺陷 ( 如 在 审计 范围 受到 限制 前 ， 执 行 有 限 
程序 未 能 识别 出 重大 缺陷 ， 则 应 删除 本 段 。) 

重大 缺陷 是 内 部 控制 中 存在 的 、 可 能 导致 不 能 及 时 防止 或 发 现 企业 财 
务 报 表 重 大 错 报 的 一 项 控制 缺陷 或 多 项 控制 缺陷 的 组 合 。 

[指出 注册 会 计 师 已 识别 出 的 重大 缺陷 (包括 在 管理 层 内 部 控制 评价 报 
告 中 描述 的 由 管理 层 识别 的 内 部 控制 重大 缺陷 ), 并 说 明 重 大 缺陷 的 性 质 以 
及 重大 缺陷 在 存在 期 间 对 企业 编制 的 财务 报表 产生 的 实际 和 潜在 影响 等 具 
体 情 况 。] 

其 中 ，x x 重大 缺陷 没有 包含 在 管理 层 内 部 控制 评价 报告 中 ( 如 存在 
这 种 情况 的 话 ， 应 增加 本 句 )。x x 重大 缺陷 虽然 已 包含 在 管理 层 内 部 控制 
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评价 报告 中 , 但 未 能 在 所 有 重大 方面 得 到 公允 反映 ，[ 公 人 允 表达 有 关 重 大 缺 
陷 的 必要 信息 ]〈 如 存在 这 种 情况 的 话 ， 应 增加 本 句 )。 

有 效 的 内 部 控制 能 够 为 财务 报告 及 相关 信息 真实 完整 、 资 产 安全 提供 
合理 保证 ， 而 上 述 重 大 缺陷 使 x x 公司 内 部 控制 失去 这 一 功能 。 

七 、 提 及 财务 报表 审计 意见 的 类 型 

( 参见 标准 审计 报告 相关 段落 表述 。) 


Xx x 会计师 事务 所 中 国 注册 会 计 师 : XXX (签名 并 盖 章 ) 
( 盖 章 ) 中 国 注册 会 计 师 : XXX (签名 并 盖 章 ) 
中 国 XX 市 Xx 年 X 月 X 日 
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